FIN7 Angriffserkennung: Russland-verknüpfte, finanzmotivierte Gruppe nutzt Google Ads, um NetSupport RAT über MSIX App-Installer-Dateien zu verbreiten
Inhaltsverzeichnis:
Mit der globalen Digitalisierung des Finanzsektors sind Organisationen einem zunehmenden Risiko durch zahlreiche ausgeklügelte, finanziell motivierte Cyberangriffe ausgesetzt. Im April haben Cybersicherheitsforscher einen Anstieg bösartiger Operationen festgestellt, die der berüchtigten russischen Hackergruppe FIN7 zugeschrieben werden, die massiv Organisationen weltweit für finanziellen Gewinn ins Visier nimmt. Gegner wurden dabei beobachtet, wie sie bewaffnete Google Ads einsetzten, die als bekannte Marken getarnt sind, um MSIX-Nutzlasten zu übertragen.
Aktuelle Angriffe von FIN7 erkennen
Der Anstieg der finanziell motivierten Angriffe durch FIN7 führt zu erheblichen finanziellen Verlusten, Datenverletzungen und Reputationsschäden bei betroffenen Organisationen. Das zunehmende Ausmaß und die Komplexität der Einbrüche unterstreichen die kritische Bedeutung robuster Cybersicherheitsstrategien, proaktiver Bedrohungserkennungsfähigkeiten und der Zusammenarbeit innerhalb der Branche, um sich gegen sich weiterentwickelnde Cyberbedrohungen zu verteidigen und sensible Daten zu schützen.
Die SOC Prime Plattform für kollektive Cyberverteidigung bietet eine Reihe kuratierter Sigma-Regeln, die auf den neuesten Anstieg von Cyberangriffen abzielen, bei denen bösartige Google Ads ausgenutzt werden, um NetSupport RAT-Malware zu verteilen. Alle Regeln sind mit über 30 SIEM-, EDR- und Data-Lake-Lösungen kompatibel und werden dem MITRE ATT&CK® Frameworkzugeordnet. Um die Bedrohungsuntersuchung zu erleichtern, sind die Erkennungen mit umfangreichen Metadaten angereichert, einschließlich CTI-Links, ATT&CK-Referenzen und anderen relevanten Details. Klicken Sie einfach auf den Detektionen erkunden Button unten und gehen Sie sofort tiefer in den relevanten Erkennungsstapel ein.
Sicherheitsexperten, die nach weiteren Erkennungsinhalten im Zusammenhang mit dem FIN7-Hacker-Kollektiv suchen, um die Angriffe rückblickend zu analysieren, können den Threat Detection Marketplace mit dem Tag „FIN7” durchsuchen.
Beschreibung des FIN7-Angriffs durch Ausnutzung gesponserter Google Ads
Mitte Frühling 2024 beobachtete die Threat Response Unit (TRU) von eSentire eine Reihe von Cyberangriffen, die der FIN7 zugeschrieben werden, einer finanziell motivierten Gruppe, die mit Russland in Verbindung steht und seit über einem Jahrzehnt im Rampenlicht der Bedrohungslandschaft steht.
In der neuesten Kampagne missbrauchen Gegner aktiv betrügerische Websites über gesponserte Google Ads, die als angesehene Marken wie AnyDesk, WinSCP, The Wall Street Journal und Google Meet getarnt sind, um MSIX-Installer zu verteilen, was weiter zur Bereitstellung von NetSupport RAT führt.
Die Infektionskette in einem der beobachteten Vorfälle wird durch ein bösartiges Pop-up auf der von den Gegnern durch gesponserte Google Ads bewaffneten Website ausgelöst, das Opfer dazu verleitet, ein betrügerisches Browser-Add-on herunterzuladen. Letzteres erscheint als MSIX-Datei. Andere von FIN7 betriebene und als vertrauenswürdige Marken getarnte Websites nutzen URLScan. Die MSIX-Datei enthält ein PowerShell-Skript, das Systeminformationen sammeln und eine Kommunikation mit einem C2-Server herstellen soll, um ein weiteres codiertes PowerShell-Skript abzurufen. Letzteres wird verwendet, um den NetSupport RAT von dem von Gegnern kontrollierten Remote-Server herunterzuladen und auszuführen.
Die Infektionskette im zweiten Szenario spiegelt das erste wider. Die bewaffnete Website meet-go[.]click verleitet Nutzer dazu, einen betrügerischen MSIX MeetGo-Installer herunterzuladen, der einige Stunden später NetSupport RAT auf dem kompromittierten Gerät installiert. Anschließend stellen die Gegner über NetSupport RAT eine Verbindung zum Gerät her. Hacker erreichen Persistenz durch geplante Aufgaben und führen die Infektion weiter fort, indem sie einen weiteren bösartigen Stamm verbreiten, der als DiceLoader über ein Python-Skript verfolgt wird.
Um Risiken durch FIN7-Angriffe zu mindern, wird Verteidigern empfohlen, stets wachsam zu sein, wenn sie auf Google Ads klicken, auf verifizierte Quellen für Software-Downloads zu setzen und organisationsweite Phishing-Bewusstseinsprogramme für Mitarbeiter durchzuführen.
Cyberangriffe, bei denen Hacker täuschende Websites, die vertrauenswürdige Marken imitieren, für finanzielle Gewinne ausnutzen, stellen aufgrund ihrer gestiegenen Komplexität und umfangreichen Werkzeuge der Gegner Herausforderungen für Organisationen dar, was die Notwendigkeit einer extremen Reaktionsfähigkeit und der Umsetzung proaktiver Cybersicherheitsstrategien unterstreicht. Durch den Einsatz von Attack Detectivekönnen Sicherheitsteams eine intelligente Datenorchestrierung und automatisierte Bedrohungserkennungsfähigkeiten aktivieren, um die Risiken potenzieller Einbrüche in kürzester Zeit zu minimieren und gleichzeitig die Sicherheitsinvestitionen zu maximieren.
