BIOLOAD
FIN7 on taloudellisesti motivoitunut uhkatoimijoiden ryhmä, joka on erikoistunut hyökkäyksiin eri alueiden yrityksiä vastaan. Yksi heidän merkittävistä haittaohjelmistoperheistä on BOOSTWRITE, ja verkkoturvallisuustutkijat paljastivat toisen haittaohjelmistoperheen, jolla näyttää olevan samanlaisia samankaltaisuuksia BOOSTWRITEn kanssa äskettäin - uusi uhka on nimeltään BIOLOAD. BIOLOAD täyttää troijalaisen kuormaajan tarkoituksen - haittaohjelman, jonka tarkoituksena on ladata haitallista hyötykuormaa ja suorittaa se turvallisesti vaarannetulle hostille.
Usein troijalaisilla kuormaajilla on vaihdettavat hyötykuormat, mutta BIOLOAD-tapaus on hiukan erilainen - haittaohjelma on räätälöity jokaiselle saastuttamalle järjestelmälle. Siinä on ainutlaatuinen salattu hyötykuorma, ja BIOLOAD Loader saa salauksen avaimen käyttämällä vaarannettua tietokoneen nimeä yhdessä muiden lataajan tiedostoon upotettujen tietojen kanssa.
Toistaiseksi FIN7 on käyttänyt BIOLOADia vain yhdellä uhalla - pahamaineisella Carbanak Banking-troijalaisella. On mahdollista, että BIOLOAD-lataajaa voidaan käyttää tulevaisuudessa muiden haittaohjelmaperheiden kanssa, mutta tällä hetkellä muiden haittaohjelmien käyttöä ei ole dokumentoitu.
BIOLOAD lataa sulautetun hyötykuorman luomalla uuden ajoitetun tehtävän, joka on ohjelmoitu käynnistämään hyötykuorma 30 sekunnin kuluttua Windowsin käynnistymisestä. Haittaohjelmilla on myös perus- virheenkorjauksen torjunta- ja hiekkalaatikkovähennysmoduulit, joiden avulla se voi havaita haittaohjelmatutkimukseen käytettävät ympäristöt ja pysäyttää hyökkäysprosessin.
FIN7 on valinnut kohdistetut hyökkäykset käyttäessäsi BIOLOAD Loaderia, ja näyttää siltä, että ryhmä on saattanut käyttää tiedusteluvälineitä kerätäkseen tietoja BIOLOAD-kampanjan kohteista.
