Бэкдор в оперативной памяти: почему Anubis так трудно обнаружить
NewsMakerДаже анализ сетевого трафика не всегда выдаёт его присутствие.
Киберпреступная группировка FIN7, также известная под псевдонимами Carbon Spider, ELBRUS, Gold Niagara и другими, вновь проявила активность, задействовав инструмент под названием Anubis. Речь идёт не о широко известном Android-трояне, а о новом вредоносном ПО на языке Python, предназначенном для удалённого управления заражёнными системами Windows.
Как отмечают исследователи из швейцарской компании PRODAFT, данное ПО предоставляет злоумышленникам доступ к командной строке и ключевым системным операциям, фактически полностью подчиняя компьютер атакующего.
Распространение Anubis осуществляется через вредоносные рассылки, в которых используются скомпрометированные SharePoint-сайты. Жертве предлагается скачать ZIP-архив, содержащий скрипт на Python. При запуске скрипт расшифровывает и сразу исполняет основной обфусцированный вредоносный модуль в оперативной памяти. Такой подход позволяет избежать записи исполняемых компонентов на диск и тем самым снижает вероятность обнаружения.
После активации Anubis устанавливает соединение с удалённым сервером через TCP-сокет, обмениваясь данными в формате Base64. Ответы сервера также закодированы, что затрудняет их перехват. Бэкдор может определять IP-адрес устройства, загружать и скачивать файлы, менять рабочий каталог, получать переменные окружения, модифицировать системный реестр, загружать DLL-библиотеки напрямую в память и, при необходимости, завершать собственную работу.
Дополнительный анализ , проведённый немецкой компанией GDATA, показал, что Anubis умеет исполнять произвольные команды, полученные от оператора. Это открывает возможность запуска кейлоггеров, создания снимков экрана и кражи паролей — причём сами инструменты для этих операций не хранятся на устройстве, а выполняются в реальном времени. Такой подход позволяет сохранить модульность, но снизить риски разоблачения.
За последние годы FIN7 значительно трансформировалась, превратившись из традиционной кибергруппировки в гибкую структуру, взаимодействующую с операторами программ-вымогателей. Одним из примеров эволюции стала реклама инструмента AuKill летом 2024 года — утилиты, способной отключать антивирусные решения и средства защиты, что позволяет готовить почву для других атакующих компонентов.
Нынешняя кампания с использованием Anubis подтверждает стремление FIN7 развивать собственный арсенал за счёт непрерывного технического усложнения. Особо опасным является выбор вектора атаки — официальные платформы вроде SharePoint, которые вызывают меньше подозрений у пользователей. Использование легитимных сервисов для доставки вредоносного кода становится всё более распространённой тактикой в современных киберпреступлениях.
Функциональность Anubis указывает на его использование в качестве универсального инструмента доступа, пригодного как для разведки, так и для развёртывания дополнительных вредоносных компонентов. За счёт компактности и продуманной архитектуры он легко интегрируется в различные схемы атак, от целенаправленных взломов до массовых рассылок.
Специалисты предупреждают, что подобные методы могут использоваться как в рамках крупномасштабных кампаний, так и в атаках на конкретные компании. В качестве защитных мер рекомендуется повышать бдительность при работе с корпоративными файлами, особенно при получении их через сторонние платформы, и регулярно отслеживать аномалии в сетевой активности.
Всё это ещё раз подчёркивает, насколько важно своевременно обновлять средства защиты, проводить внутренние аудиты безопасности и обучать сотрудников распознаванию потенциальных угроз. FIN7 продолжает демонстрировать высокий уровень координации и технологической оснащённости, что делает её одной из самых опасных активных киберугроз.
Киберпреступная группировка FIN7, также известная под псевдонимами Carbon Spider, ELBRUS, Gold Niagara и другими, вновь проявила активность, задействовав инструмент под названием Anubis. Речь идёт не о широко известном Android-трояне, а о новом вредоносном ПО на языке Python, предназначенном для удалённого управления заражёнными системами Windows.
Как отмечают исследователи из швейцарской компании PRODAFT, данное ПО предоставляет злоумышленникам доступ к командной строке и ключевым системным операциям, фактически полностью подчиняя компьютер атакующего.
Распространение Anubis осуществляется через вредоносные рассылки, в которых используются скомпрометированные SharePoint-сайты. Жертве предлагается скачать ZIP-архив, содержащий скрипт на Python. При запуске скрипт расшифровывает и сразу исполняет основной обфусцированный вредоносный модуль в оперативной памяти. Такой подход позволяет избежать записи исполняемых компонентов на диск и тем самым снижает вероятность обнаружения.
После активации Anubis устанавливает соединение с удалённым сервером через TCP-сокет, обмениваясь данными в формате Base64. Ответы сервера также закодированы, что затрудняет их перехват. Бэкдор может определять IP-адрес устройства, загружать и скачивать файлы, менять рабочий каталог, получать переменные окружения, модифицировать системный реестр, загружать DLL-библиотеки напрямую в память и, при необходимости, завершать собственную работу.
Дополнительный анализ , проведённый немецкой компанией GDATA, показал, что Anubis умеет исполнять произвольные команды, полученные от оператора. Это открывает возможность запуска кейлоггеров, создания снимков экрана и кражи паролей — причём сами инструменты для этих операций не хранятся на устройстве, а выполняются в реальном времени. Такой подход позволяет сохранить модульность, но снизить риски разоблачения.
За последние годы FIN7 значительно трансформировалась, превратившись из традиционной кибергруппировки в гибкую структуру, взаимодействующую с операторами программ-вымогателей. Одним из примеров эволюции стала реклама инструмента AuKill летом 2024 года — утилиты, способной отключать антивирусные решения и средства защиты, что позволяет готовить почву для других атакующих компонентов.
Нынешняя кампания с использованием Anubis подтверждает стремление FIN7 развивать собственный арсенал за счёт непрерывного технического усложнения. Особо опасным является выбор вектора атаки — официальные платформы вроде SharePoint, которые вызывают меньше подозрений у пользователей. Использование легитимных сервисов для доставки вредоносного кода становится всё более распространённой тактикой в современных киберпреступлениях.
Функциональность Anubis указывает на его использование в качестве универсального инструмента доступа, пригодного как для разведки, так и для развёртывания дополнительных вредоносных компонентов. За счёт компактности и продуманной архитектуры он легко интегрируется в различные схемы атак, от целенаправленных взломов до массовых рассылок.
Специалисты предупреждают, что подобные методы могут использоваться как в рамках крупномасштабных кампаний, так и в атаках на конкретные компании. В качестве защитных мер рекомендуется повышать бдительность при работе с корпоративными файлами, особенно при получении их через сторонние платформы, и регулярно отслеживать аномалии в сетевой активности.
Всё это ещё раз подчёркивает, насколько важно своевременно обновлять средства защиты, проводить внутренние аудиты безопасности и обучать сотрудников распознаванию потенциальных угроз. FIN7 продолжает демонстрировать высокий уровень координации и технологической оснащённости, что делает её одной из самых опасных активных киберугроз.