Mises à jour du groupe APT FIN7 : intégration de la compromission de la chaîne d’approvisionnement logicielle, amélioration des opérations

FIN7, un groupe de hackers motivé par des raisons financières et lié à la Russie qui est actif depuis près d’une décennie, améliore son arsenal. Les opérations de FIN7 se divisent généralement en deux catégories : les escroqueries par compromission de courrier électronique professionnel (BEC) et les intrusions dans les systèmes de point de vente (PoS). Cet acteur de menace est connu pour son intérêt envers les organisations financières, atteignant même le statut de l’un des groupes de menaces financières les plus prolifiques de la décennie passée.

Dans leur dernière campagne, les acteurs de FIN7 frappent plus vite et plus fort, élargissant la gamme de leurs vecteurs d’attaque, par exemple, en introduisant également une attaque par la chaîne d’approvisionnement dans leur arsenal.

Détectez l’Activité de FIN7 dans Votre Système

Les activités de FIN7 représentent une menace croissante pour de nombreuses industries dans le monde entier. L’APT progresse activement, explorant de nouveaux horizons, en introduisant une nouvelle porte dérobée et d’autres nouveaux outils malveillants. Utilisez les règles suivantes fournies par les experts chevronnés de la Team SOC Prime et notre développeur Threat Bounty compétent Aytek Aytemur pour identifier des relations processus parent-enfant suspectes précédemment observées par FIN7 :

Évasion possible de la défense Fin7 (G0046) par modèle de processus parent et enfant (via process_creation)

Cette détection a des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Sysmon, Apache Kafka ksqlDB, AWS OpenSearch, Microsoft PowerShell et Open Distro.

La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, abordant la tactique d’évasion de la défense avec l’exécution proxy de binaire signé comme technique principale (T1218).

FIN7 (Groupe de Menace Financière) utilise plusieurs outils dans sa nouvelle campagne (via process_creation)

Cette détection a des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Sysmon, Apache Kafka ksqlDB, AWS OpenSearch, Microsoft PowerShell et Open Distro.

La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, abordant la tactique de découverte avec la découverte de processus comme technique principale (T1057).

Le groupe APT FIN7 est apparu pour la première fois en 2013, et aujourd’hui, le cluster reste fort, avec environ 17 UNC supplémentaires s’affiliant à FIN7. Pour détecter les tentatives d’intrusion, telles que l’évasion de FIN7, et d’autres menaces cybernétiques complexes, utilisez le contenu de détection disponible sur la plateforme Detection as Code de SOC Prime. Vous travaillez sur le contenu de détection de menaces ? Rejoignez le plus grand programme de prime au monde pour les défenseurs cybernétiques. Partagez votre contenu de détection via notre plateforme Detection as Code et gagnez des revenus récurrents pour vos contributions tout en luttant pour un monde cyber plus sûr.

Voir Tout le Contenu Rejoindre Threat Bounty

Évolution de FIN7

Le groupe FIN7 (également connu sous le nom d’Anunak, ou Cobalt Group) est sur le radar depuis au moins 2013. Les hackers de FIN7 sont souvent associés au groupe Carbanak sur la base des logiciels malveillants utilisés, mais les chercheurs débattent sur plusieurs organisations de hackers différentes.

Le groupe de hackers FIN7 est connu pour poursuivre les organisations financières dans le monde entier comme leurs principales cibles, utilisant un arsenal d’outils et de techniques de hackers en constante évolution. L’APT FIN7 s’est concentré sur les vols à grande échelle aux États-Unis et en Europe. Malgré les arrestations de chefs de file médiatisées en 2018, les cybercriminels de FIN7 continuent d’opérer et de développer leurs affaires.

Les chercheurs de Mandiant ont identifié que dans leurs intrusions, FIN7 avait utilisé l’hameçonnage, le piratage de systèmes tiers, et d’autres moyens pour obtenir des accès initiaux et secondaires aux réseaux des victimes. Par exemple, pour infecter et compromettre les cibles, FIN7 a développé des leurres de phishing avec des fichiers de raccourci cachés. Également nouvelle dans la technique de FIN7 est l’utilisation par le groupe de la compromission de la chaîne d’approvisionnement pour obtenir un accès supplémentaire aux systèmes.

L’organisation de hackers a utilisé une porte dérobée Java Script pour exécuter ses opérations durant les premières années de l’existence de FIN7, la personnalisant en cours de route. CARBANAK, DICELOADER (également connu sous le nom de Lizar), et un malware de porte dérobée basé sur PowerShell, POWERPLANT, sont également largement utilisés. Une fois l’accès initial établi, FIN7 est célèbre pour utiliser une multitude d’outils et de techniques différents, selon l’environnement du client.

Rejoindre la plateforme Detection as Code de SOC Prime pour débloquer l’accès au plus grand pool de contenu de détection en direct créé par les leaders de l’industrie et résister aux attaques boostées avec les outils de hackers les plus sophistiqués utilisés par les APT. SOC Prime, dont le siège est à Boston, aux États-Unis, est alimenté par une équipe internationale d’experts de premier plan dédiés à permettre une défense cybernétique collaborative. Résistez aux attaques plus rapidement et plus efficacement avec SOC Prime.