Aktualisierungen der FIN7 APT-Gruppe: Einbeziehung von Software-Lieferkettenkompromittierungen, Optimierung der Operationen
Inhaltsverzeichnis:
FIN7, eine finanziell motivierte, mit Russland verbundene Hackergruppe, die seit fast einem Jahrzehnt aktiv ist, erweitert ihr Arsenal. FIN7-Operationen fallen im Allgemeinen in zwei Kategorien: Business Email Compromise (BEC)-Betrug und Eindringen in Point-of-Sale (PoS)-Systeme. Der Bedrohungsakteur ist bekannt dafür, sein Interesse auf Finanzorganisationen zu richten und hat es sogar geschafft, einer der produktivsten finanziellen Bedrohungsgruppen des letzten Jahrzehnts zu werden.
In ihrer neuesten Kampagne schlagen FIN7-Akteure schneller und härter zu, indem sie das Spektrum ihrer Angriffsvektoren erweitern, zum Beispiel durch die Einführung eines Lieferkettenangriffs in ihr Arsenal.
Erkennen Sie FIN7-Aktivitäten in Ihrem System
FIN7-Aktivitäten stellen eine ständig wachsende Bedrohung für viele Branchen weltweit dar. Die APT entwickelt sich aktiv weiter, richtet sich auf neue Horizonte aus und führt eine neue Hintertür und andere neue bösartige Werkzeuge ein. Nutzen Sie die folgenden Regeln, die von den erfahrenen Experten von SOC Prime Team und unserem erfahrenen Threat Bounty Entwickler Aytek Aytemur bereitgestellt wurden, um verdächtige Eltern-Kind-Prozessbeziehungen zu identifizieren, die zuvor von FIN7 beobachtet wurden:
Mögliche Fin7 (G0046) Defense Evasion durch Eltern- und Kindprozessmuster (via process_creation)
Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- und XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Sysmon, Apache Kafka ksqlDB, AWS OpenSearch, Microsoft PowerShell und Open Distro.
Die Regel stimmt mit dem neuesten MITRE ATT&CK®-Framework v.10 überein und behandelt die Taktik der Defense Evasion mit Signed Binary Proxy Execution als Haupttechnik (T1218).
Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- und XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Sysmon, Apache Kafka ksqlDB, AWS OpenSearch, Microsoft PowerShell und Open Distro.
Die Regel stimmt mit dem neuesten MITRE ATT&CK®-Framework v.10 überein und behandelt die Taktik der Entdeckung mit Prozessentdeckung als Haupttechnik (T1057).
Die FIN7 APT-Gruppe trat erstmals 2013 in Erscheinung und das Cluster ist heute stark, mit etwa 17 zusätzlichen UNCs, die sich mit FIN7 verbünden. Um Eindringversuche wie die Evation von FIN7 und andere komplexe Cyberbedrohungen zu erkennen, nutzen Sie die Erkennungsinhalte, die in SOC Primes Detection as Code-Plattform verfügbar sind. Arbeiten Sie an Bedrohungserkennungsinhalten? Schließen Sie sich dem weltweit größten Prämienprogramm für Cyberverteidiger an. Teilen Sie Ihre Erkennungsinhalte über unsere Detection as Code Plattform und verdienen Sie wiederkehrende Einnahmen für Ihre Beiträge, während Sie für eine sicherere Cyberwelt kämpfen.
Alle Inhalte ansehen Treten Sie der Threat Bounty bei
Entwicklung von FIN7
Die FIN7-Gruppe (auch bekannt als Anunak oder Cobalt Group) ist seit mindestens 2013 im Visier. Die FIN7-Hacker werden oft mit der Carbanak-Gruppe aufgrund der verwendeten Malware in Verbindung gebracht, aber Forscher diskutieren über mehrere verschiedene Hackerorganisationen.
Die FIN7-Hackergruppe ist bekannt dafür, weltweit Finanzorganisationen als Hauptziele zu verfolgen und ein sich ständig weiterentwickelndes Arsenal an Hackerwerkzeugen und -techniken einzusetzen. Die FIN7 APT hat sich auf großangelegten Diebstahl in den USA und Europa konzentriert. Trotz der Festnahme von hochkarätigen Drahtziehern im Jahr 2018 setzen FIN7 Cyberkriminelle ihre Operationen fort und erweitern ihr Geschäft.
Forscher bei Mandiant stellten fest, dass FIN7 in ihren Einbrüchen Phishing, das Hacken von Drittsystemen und andere Mittel genutzt hat, um initialen und sekundären Zugang zu den Netzwerken der Opfer zu erlangen. Um Ziele zu infizieren und zu kompromittieren, hat FIN7 zum Beispiel Phishing-Köder mit versteckten Verknüpfungen entwickelt. Neu an der Technik von FIN7 ist auch die Nutzung von Lieferkettenkompromittierungen, um zusätzlichen Systemzugang zu erhalten.
Die Hackerorganisation nutzte ein Java-Script-Backdoor, um ihre Operationen in den ersten Jahren der Existenz von FIN7 auszuführen und es auf dem Weg anzupassen. CARBANAK, DICELOADER (auch bekannt als Lizar) und eine auf PowerShell basierende POWERPLANT-Backdoor-Malware werden ebenfalls häufig verwendet. Nach der Erlangung des ersten Zugangs ist FIN7 bekannt dafür, viele verschiedene Werkzeuge und Techniken basierend auf der Kundenumgebung einzusetzen.
Treten Sie bei SOC Primes Detection as Code Plattform bei, um Zugang zum weltweit größten Live-Pool an Erkennungsinhalten zu erhalten, die von Branchenführern erstellt wurden, und um Angriffe zu widerstehen, die durch die raffiniertesten Hacker-Werkzeuge, die von APTs verwendet werden, verstärkt werden. SOC Prime, mit Hauptsitz in Boston, USA, wird von einem internationalen Team erstklassiger Experten unterstützt, das sich der Förderung der kollaborativen Cyberabwehr widmet. Widerstehen Sie Angriffen schneller und effizienter mit SOC Prime.
