Détection des attaques FIN7 : Groupe financièrement motivé lié à la Russie exploite Google Ads pour diffuser NetSupport RAT via des fichiers d’installation d’application MSIX
Table des matières :
Avec la numérisation mondiale du secteur financier, les organisations sont exposées à des risques croissants dans de nombreuses cyberattaques sophistiquées motivées par des raisons financières. Tout au long du mois d’avril, les chercheurs en cybersécurité ont identifié une hausse des opérations malveillantes attribuées au collectif de hackers russe malveillant connu sous le nom de FIN7 ciblant massivement des organisations dans le monde entier pour des gains financiers. Les adversaires ont été observés en train d’exploiter des annonces Google armées déguisées en marques bien connues pour déposer des charges utiles MSIX.
Détecter les dernières attaques de FIN7
La recrudescence des attaques de FIN7 motivées par des raisons financières entraîne des pertes financières substantielles, des violations de données et des dommages réputationnels pour les organisations touchées. L’ampleur croissante et la sophistication des intrusions soulignent l’importance cruciale de stratégies robustes de cybersécurité, de capacités de détection proactive des menaces, et de la collaboration au sein de l’industrie pour se défendre contre les cybermenaces évolutives et protéger les données sensibles.
La plate-forme SOC Prime pour la défense cybernétique collective propose un ensemble de règles Sigma sélectionnées abordant la dernière recrudescence des cyberattaques exploitant les annonces Google malveillantes pour distribuer le malware NetSupport RAT. Toutes les règles sont compatibles avec plus de 30 solutions SIEM, EDR et Data Lake et sont mappées au cadre MITRE ATT&CK®. Pour faciliter l’enquête sur les menaces, les détections sont enrichies de métadonnées exhaustives, y compris des liens CTI, des références ATT&CK, et d’autres détails pertinents. Il suffit de cliquer sur le Explorer les Détections bouton ci-dessous et d’examiner immédiatement l’ensemble de détections pertinent.
Les professionnels de la sécurité qui recherchent plus de contenu de détection associé au collectif de hackers FIN7 pour analyser rétrospectivement les attaques peuvent parcourir le Marché de la Détection des Menaces en utilisant le tag “FIN7”.
Description de l’Attaque FIN7 Exploitant les Annonces Sponsorisées de Google
À la mi-printemps 2024, l’Unité de Réponse aux Menaces (TRU) d’eSentire a observé une série de cyberattaques attribuées à FIN7, un groupe motivé par des considérations financières lié à la Russie qui est au centre de l’attention dans le paysage des menaces depuis plus d’une décennie.
Dans la dernière campagne, les adversaires abusent activement des sites web frauduleux via des annonces Google sponsorisées se faisant passer pour des marques réputées, notamment AnyDesk, WinSCP, The Wall Street Journal et Google Meet, pour distribuer des installateurs MSIX, ce qui conduit par la suite au déploiement de NetSupport RAT.
La chaîne d’infection dans l’un des incidents observés est déclenchée par une fenêtre contextuelle malveillante sur le site web armé par les adversaires grâce aux annonces Google sponsorisées, attirant les victimes à télécharger un module complémentaire de navigateur frauduleux. Ce dernier apparaît comme un fichier MSIX. D’autres sites web exploités par FIN7 et déguisés en marques fiables utilisent URLScan. Le fichier MSIX contient un script PowerShell destiné à collecter des informations système et établir une communication avec un serveur C2 pour récupérer un autre script PowerShell encodé. Ce dernier est utilisé pour télécharger et exécuter le NetSupport RAT depuis le serveur distant contrôlé par les adversaires.
La chaîne d’infection dans le second scénario reflète le premier. Le site web armé meet-go[.]click attire les utilisateurs à télécharger un installateur MSIX MeetGo frauduleux, qui quelques heures plus tard livre le NetSupport RAT sur l’appareil compromis. Par la suite, les adversaires établissent une connexion à la machine via NetSupport RAT. Les hackers obtiennent la persistance en utilisant des tâches planifiées et poursuivent l’infection en propageant une autre souche malveillante suivie sous le nom de DiceLoader via un script Python.
Pour atténuer les risques des attaques FIN7, les défenseurs recommandent de toujours rester vigilant lorsqu’on clique sur des annonces Google, de se fier à des sources vérifiées pour les téléchargements de logiciels, et de réaliser des programmes de sensibilisation au phishing pour les employés à l’échelle de l’organisation.
Les cyberattaques dans lesquelles les hackers arment des sites web trompeurs se faisant passer pour des marques fiables à des fins financières posent des défis aux organisations en raison de leur sophistication croissante et des kits d’outils adverses étendus, ce qui souligne la nécessité de l’ultra-réactivité et de l’adoption de stratégies de cybersécurité proactives. En exploitant Attack Detective, les équipes de sécurité peuvent activer une orchestration intelligente des données et automatiser les capacités de chasse aux menaces pour minimiser les risques d’intrusions potentielles dans le moins de temps possible tout en maximisant les investissements en sécurité.
