BIOLOAD
FIN7 - это финансово мотивированная группа субъектов угроз, которые специализируются на атаках на предприятия в разных регионах. Одним из их известных семейств вредоносных программ является BOOSTWRITE, и исследователи в области кибербезопасности обнаружили еще одно семейство вредоносных программ, которое, похоже, недавно имело сходство с BOOSTWRITE - новая угроза называется BIOLOAD. BIOLOAD выполняет задачу троянского загрузчика - вредоносного ПО, предназначенного для загрузки вредоносной нагрузки и безопасного ее выполнения на скомпрометированной машине.
Часто троянские загрузчики имеют сменные полезные нагрузки, но случай BIOLOAD немного отличается - вредоносное ПО настраивается индивидуально для каждой заражаемой системы. Он несет уникальную полезную нагрузку, которая зашифрована, и загрузчик BIOLOAD получает ключ дешифрования, используя имя скомпрометированного компьютера в сочетании с другой информацией, встроенной в файл загрузчика.
До сих пор FIN7 использовал BIOLOAD только с одной угрозой - печально известным банковским трояном Carbanak . Возможно, что в будущем загрузчик BIOLOAD можно будет использовать с другими семействами вредоносных программ, но на данный момент не было зарегистрированного использования других вредоносных программ.
BIOLOAD загружает встроенную полезную нагрузку, создав новую запланированную задачу, запрограммированную на запуск полезной нагрузки через 30 секунд после загрузки Windows. Вредоносная программа также имеет базовые модули защиты от отладки и уклонения от песочницы, которые позволяют обнаруживать среды, используемые для исследования вредоносных программ, и останавливать процесс атаки.
FIN7 решил использовать целевые атаки при использовании загрузчика BIOLOAD, и, похоже, группа использовала разведывательные инструменты для сбора информации о целях кампании BIOLOAD.
