Actualizaciones del Grupo APT FIN7: Incorporación del Compromiso de la Cadena de Suministro de Software, Mejora de Operaciones
Tabla de contenidos:
FIN7, un grupo de hackers vinculado a Rusia con motivación financiera que ha estado activo durante casi una década, mejora su arsenal. Las operaciones de FIN7 generalmente se dividen en dos categorías: estafas de Compromiso de Correo Electrónico Empresarial (BEC) e intrusiones en sistemas de punto de venta (PoS). El actor de amenazas es conocido por centrar su interés en organizaciones financieras, incluso logrando el estatus de uno de los grupos de amenazas financieras más prolíficos de la última década.
En su última campaña, los actores de FIN7 atacan más rápido y con mayor intensidad, ampliando el rango de sus vectores de ataque, por ejemplo, introduciendo también un ataque a la cadena de suministro en su arsenal.
Detecta Actividad de FIN7 en Tu Sistema
Las actividades de FIN7 presentan una amenaza cada vez mayor para muchas industrias en todo el mundo. El APT está avanzando activamente, moviéndose hacia nuevos horizontes, introduciendo una nueva puerta trasera y otras nuevas herramientas maliciosas. Utiliza las siguientes reglas proporcionadas por los expertos experimentados de SOC Prime Team y nuestro hábil desarrollador de Threat Bounty Aytek Aytemur para identificar relaciones sospechosas de proceso padre-hijo previamente observadas por FIN7:
Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Sysmon, Apache Kafka ksqlDB, AWS OpenSearch, Microsoft PowerShell, y Open Distro.
La regla está alineada con el último marco de MITRE ATT&CK® v.10, abordando la táctica de Evasión de Defensa con Ejecución de Proxy Binario Firmado como la técnica principal (T1218).
FIN7 utiliza Herramientas Múltiples en su Nueva Campaña (vía creación de proceso)
Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Sysmon, Apache Kafka ksqlDB, AWS OpenSearch, Microsoft PowerShell, y Open Distro.
La regla está alineada con el último marco de MITRE ATT&CK® v.10, abordando la táctica de Descubrimiento con Descubrimiento de Procesos como la técnica principal (T1057).
El grupo APT FIN7 emergió por primera vez en 2013, y hoy el clúster sigue fuerte, con aproximadamente 17 UNCs adicionales que se afilian con FIN7. Para detectar intentos de intrusión, como la evasión de FIN7 y otras amenazas cibernéticas complejas, utiliza el contenido de detección disponible en la plataforma Detection as Code de SOC Prime. ¿Trabajas en contenido de detección de amenazas? Únete al programa de recompensas más grande del mundo para defensores cibernéticos. Comparte tu contenido de detección a través de nuestra plataforma Detection as Code y gana ingresos recurrentes por tus contribuciones mientras luchas por un mundo cibernético más seguro.
Ver Todo el Contenido Únete a Threat Bounty
Evolución de FIN7
El grupo FIN7 (también conocido como Anunak o Cobalt Group) ha estado en el radar desde al menos 2013. Los hackers de FIN7 a menudo se asocian con el grupo Carbanak en base al malware utilizado, pero los investigadores debaten sobre varias organizaciones de hackers diferentes.
El grupo de hackers FIN7 es conocido por perseguir organizaciones financieras a nivel mundial como sus principales objetivos, empleando un arsenal de herramientas y técnicas de hackers en constante evolución. El APT FIN7 ha estado centrado en robos a gran escala en los Estados Unidos y Europa. A pesar de los arrestos de líderes de alto perfil en 2018, los ciberdelincuentes de FIN7 continúan operando y expandiendo sus negocios.
Investigadores en Mandiant identificaron que en sus intrusiones, FIN7 había utilizado phishing, hackeo de sistemas de terceros y otros medios para obtener acceso inicial y secundario a las redes de las víctimas. Por ejemplo, para infectar y comprometer objetivos, FIN7 ha desarrollado señuelos de phishing con archivos de acceso directo ocultos. También es nuevo en la técnica de FIN7 el uso del compromiso de la cadena de suministro para ganar acceso adicional al sistema.
La organización de hackers empleó una puerta trasera de Java Script para ejecutar sus operaciones durante los primeros años de existencia de FIN7, personalizándola sobre la marcha. CARBANAK, DICELOADER (también conocido como Lizar) y un malware de puerta trasera basado en PowerShell llamado POWERPLANT también se utilizan ampliamente. Al establecer acceso inicial, FIN7 es famoso por emplear una gran cantidad de herramientas y técnicas diferentes según el entorno del cliente.
Únete a la plataforma Detection as Code de SOC Prime para desbloquear acceso a la mayor colección de contenido de detección en vivo creada por los líderes de la industria y resistir los ataques impulsados con las herramientas de hackers más sofisticadas utilizadas por los APT. SOC Prime, con sede en Boston, EE. UU., está impulsado por un equipo internacional de expertos de primer nivel dedicados a permitir la defensa cibernética colaborativa. Resiste ataques más rápido y de manera más eficiente con SOC Prime.
