Даже анализ сетевого трафика не всегда выдаёт его присутствие.
Киберпреступная группировка FIN7, также известная под псевдонимами Carbon Spider, ELBRUS, Gold Niagara и другими, вновь проявила активность, задействовав инструмент под названием Anubis. Речь идёт не о широко известном Android-трояне, а о новом вредоносном ПО на языке Python, предназначенном для удалённого управления заражёнными системами Windows.
Как отмечают исследователи из швейцарской компании PRODAFT, данное ПО предоставляет злоумышленникам доступ к командной строке и ключевым системным операциям, фактически полностью подчиняя компьютер атакующего.
Распространение Anubis осуществляется через вредоносные рассылки, в которых используются скомпрометированные SharePoint-сайты. Жертве предлагается скачать ZIP-архив, содержащий скрипт на Python. При запуске скрипт расшифровывает и сразу исполняет основной обфусцированный вредоносный модуль в оперативной памяти. Такой подход позволяет избежать записи исполняемых компонентов на диск и тем самым снижает вероятность обнаружения.
После активации Anubis устанавливает соединение с удалённым сервером через TCP-сокет, обмениваясь данными в формате Base64. Ответы сервера также закодированы, что затрудняет их перехват. Бэкдор может определять IP-адрес устройства, загружать и скачивать файлы, менять рабочий каталог, получать переменные окружения, модифицировать системный реестр, загружать DLL-библиотеки напрямую в память и, при необходимости, завершать собственную работу.
Дополнительный анализ, проведённый немецкой компанией GDATA, показал, что Anubis умеет исполнять произвольные команды, полученные от оператора. Это открывает возможность запуска кейлоггеров, создания снимков экрана и кражи паролей — причём сами инструменты для этих операций не хранятся на устройстве, а выполняются в реальном времени. Такой подход позволяет сохранить модульность, но снизить риски разоблачения.
За последние годы FIN7 значительно трансформировалась, превратившись из традиционной кибергруппировки в гибкую структуру, взаимодействующую с операторами программ-вымогателей. Одним из примеров эволюции стала реклама инструмента AuKill летом 2024 года — утилиты, способной отключать антивирусные решения и средства защиты, что позволяет готовить почву для других атакующих компонентов.
Нынешняя кампания с использованием Anubis подтверждает стремление FIN7 развивать собственный арсенал за счёт непрерывного технического усложнения. Особо опасным является выбор вектора атаки — официальные платформы вроде SharePoint, которые вызывают меньше подозрений у пользователей. Использование легитимных сервисов для доставки вредоносного кода становится всё более распространённой тактикой в современных киберпреступлениях.
Функциональность Anubis указывает на его использование в качестве универсального инструмента доступа, пригодного как для разведки, так и для развёртывания дополнительных вредоносных компонентов. За счёт компактности и продуманной архитектуры он легко интегрируется в различные схемы атак, от целенаправленных взломов до массовых рассылок.
Специалисты предупреждают, что подобные методы могут использоваться как в рамках крупномасштабных кампаний, так и в атаках на конкретные компании. В качестве защитных мер рекомендуется повышать бдительность при работе с корпоративными файлами, особенно при получении их через сторонние платформы, и регулярно отслеживать аномалии в сетевой активности.
Всё это ещё раз подчёркивает, насколько важно своевременно обновлять средства защиты, проводить внутренние аудиты безопасности и обучать сотрудников распознаванию потенциальных угроз. FIN7 продолжает демонстрировать высокий уровень координации и технологической оснащённости, что делает её одной из самых опасных активных киберугроз.
