Aktor ancaman yang termotivasi secara finansial yang dikenal sebagai FIN7 telah dikaitkan dengan pintu belakang berbasis Python yang disebut Anubis (jangan bingung dengan Trojan perbankan Android dengan nama yang sama) yang dapat memberi mereka akses jarak jauh ke sistem Windows yang dikompromikan.
“Malware ini memungkinkan penyerang untuk menjalankan perintah shell jarak jauh dan operasi sistem lainnya, memberi mereka kontrol penuh atas mesin yang terinfeksi,” kata perusahaan keamanan siber Swiss Prodaft dalam laporan teknis malware.
Fin7, juga disebut Carbon Spider, Elbrus, Gold Niagara, Sangria Tempest, dan Savage Ladybug, adalah kelompok kejahatan dunia maya Rusia yang dikenal karena serangkaian keluarga malware yang terus berkembang dan berkembang untuk mendapatkan akses awal dan exfiltrasi data. Dalam beberapa tahun terakhir, aktor ancaman dikatakan telah beralih ke afiliasi ransomware.
Pada bulan Juli 2024, grup ini diamati menggunakan berbagai alias online untuk mengiklankan alat yang disebut Aukill (alias avneutralizer) yang mampu menghentikan alat keamanan dalam upaya yang mungkin untuk melakukan diversifikasi strategi monetisasi.
Anubis diyakini diperbanyak melalui kampanye Malspam yang biasanya memikat korban untuk melaksanakan muatan yang di -host di situs SharePoint yang dikompromikan.
Disampaikan dalam bentuk arsip zip, titik masuk infeksi adalah skrip Python yang dirancang untuk mendekripsi dan menjalankan muatan utama yang dikaburkan secara langsung dalam memori. Setelah diluncurkan, backdoor membuat komunikasi dengan server jarak jauh di atas soket TCP dalam format yang dikodekan Base64.
Tanggapan dari server, juga encoded base64, memungkinkannya untuk mengumpulkan alamat IP host, mengunggah/mengunduh file, mengubah direktori kerja saat ini, ambil variabel lingkungan, mengubah registri windows, memuat file DLL ke dalam memori menggunakan pythonMemoryModule, dan mengakhiri dirinya sendiri.
Dalam analisis independen Anubis, perusahaan keamanan Jerman Gdata mengatakan backdoor juga mendukung kemampuan untuk menjalankan tanggapan yang disediakan operator sebagai perintah shell pada sistem korban.
“Ini memungkinkan penyerang untuk melakukan tindakan seperti keylogging, mengambil tangkapan layar, atau mencuri kata sandi tanpa secara langsung menyimpan kemampuan ini pada sistem yang terinfeksi,” kata Prodaft. “Dengan menjaga pintu belakang seberat mungkin, mereka mengurangi risiko deteksi sambil mempertahankan fleksibilitas untuk melaksanakan aktivitas jahat lebih lanjut.”
