Киберпреступная группировка FIN7, известная по всему миру благодаря своим продвинутым атакам, снова наделала шума. На этот раз злоумышленники задействовали новое вредоносное ПО под названием Anubis — не путать с одноимённым Android-трояном. Этот инструмент написан на Python и предназначен для удалённого контроля над Windows-системами, при этом он практически невидим.
Главная особенность Anubis исполнение основного вредоносного кода в оперативной памяти. Скрипт расшифровывает полезную нагрузку на лету и запускает её, не оставляя следов на жёстком диске, что делает его крайне сложным для обнаружения антивирусами и системами мониторинга.
Заражение происходит через вредоносные письма и компрометированные SharePoint-сайты, откуда пользователь скачивает ZIP-архив с Python-скриптом. После запуска бэкдор устанавливает соединение с сервером через TCP, обмениваясь зашифрованными в Base64 данными, что усложняет перехват трафика и анализ.
Бэкдор Anubis предоставляет злоумышленникам широкий инструментарий:
- доступ к командной строке и системным функциям,
- загрузку и удаление файлов,
- управление реестром Windows,
- подгрузку DLL в память,
- выполнение любых удалённых команд (включая кейлоггеры и скриншоты).
По сути, это полноценный удалённый терминал в чужом компьютере, при этом скрытный и мимикрирующий под легитимные процессы.
Также известно, что FIN7 активно развивает своё «оборудование» для атак — в том числе модуль AuKill, отключающий защиту системы. С помощью таких средств группа уже несколько лет сотрудничает с операторами вымогателей, превращаясь в одну из самых технологически развитых и опасных кибергрупп.
Эксперты советуют:
- быть крайне осторожными с ZIP-архивами, особенно скачанными со сторонних платформ;
- обновлять антивирусы и системы мониторинга;
- обучать сотрудников кибер-гигиене;
- мониторить сетевую активность на предмет необычного трафика.
FIN7 снова подтверждает: современная киберугроза — это не только вирус, но и гибкая инфраструктура, высокоуровневая координация и мощная техника маскировки.
