Aggiornamenti del Gruppo APT FIN7: Integrazione del Compromesso della Supply Chain Software, Rafforzamento delle Operazioni

FIN7, un gruppo di hacker legato alla Russia motivato finanziariamente che è attivo da quasi un decennio, potenzia il suo arsenale. Le operazioni di FIN7 generalmente rientrano in due categorie: le truffe BEC (Business Email Compromise) e le intrusioni nei sistemi punto vendita (PoS). Il soggetto minaccioso è noto per concentrarsi sulle organizzazioni finanziarie, ottenendo persino lo status di uno dei gruppi di minacce finanziarie più prolifici dell’ultimo decennio.

Nella loro ultima campagna, gli attori di FIN7 colpiscono più velocemente e con maggiore forza, espandendo la gamma dei loro vettori di attacco, ad esempio introducendo anche un attacco alla catena di approvvigionamento nel loro arsenale.

Rileva l’Attività FIN7 nel Tuo Sistema

Le attività di FIN7 rappresentano una minaccia in crescita costante per molte industrie in tutto il mondo. L’APT sta progredendo attivamente, muovendosi verso nuovi orizzonti, introducendo una nuova backdoor e altri nuovi strumenti dannosi. Utilizza le seguenti regole fornite dagli esperti esperti di SOC Prime Team e dal nostro abile sviluppatore di Threat Bounty Aytek Aytemur per identificare rapporti di processo genitore-figlio sospetti precedentemente osservati da FIN7:

Possibile Evasione di Difesa di Fin7 (G0046) tramite Modello di Processo Genitore e Figlio (via process_creation)

Questa rilevazione ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Sysmon, Apache Kafka ksqlDB, AWS OpenSearch, Microsoft PowerShell e Open Distro.

La regola è allineata con il framework MITRE ATT&CK® più recente v.10, affrontando la tattica di elusione della difesa con l’esecuzione di proxy binari firmati come la tecnica principale (T1218).

FIN7 (Gruppo di Minaccia Finanziaria) utilizza Molteplici Strumenti nella sua Nuova Campagna (via process_creation)

Questa rilevazione ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Sysmon, Apache Kafka ksqlDB, AWS OpenSearch, Microsoft PowerShell e Open Distro.

La regola è allineata con il framework MITRE ATT&CK® più recente v.10, affrontando la tattica di scoperta con la scoperta di processi come la tecnica principale (T1057).

Il gruppo APT FIN7 è emerso per la prima volta nel 2013, e oggi il cluster è in piena attività, con circa 17 UNC aggiuntive che si affiliano a FIN7. Per rilevare tentativi di intrusione, come l’evasione di FIN7, e altre minacce informatiche complesse, utilizza il contenuto di rilevazione disponibile nella piattaforma Detection as Code di SOC Prime. Stai lavorando su contenuti di rilevazione delle minacce? Unisciti al più grande programma di ricompense del mondo per difensori informatici. Condividi i tuoi contenuti di rilevazione tramite la nostra piattaforma Detection as Code e guadagna entrate ricorrenti per i tuoi contributi mentre combatti per un mondo informatico più sicuro.

Visualizza Tutti i Contenuti Unisciti a Threat Bounty

Evoluzione di FIN7

Il gruppo FIN7 (noto anche come Anunak o Cobalt Group) è sotto il radar almeno dal 2013. Gli hacker di FIN7 sono spesso associati al gruppo Carbanak sulla base del malware utilizzato, ma i ricercatori discutono di diverse organizzazioni di hacker.

Il gruppo di hacker FIN7 è noto per perseguire organizzazioni finanziarie in tutto il mondo come loro principali obiettivi, impiegando un arsenale di strumenti e tecniche di hackeraggio in continua evoluzione. L’APT FIN7 si è concentrato su furti su larga scala negli Stati Uniti e in Europa. Nonostante gli arresti di leader di alto profilo nel 2018, i cybercriminali di FIN7 continuano a operare e far crescere i loro affari.

I ricercatori di Mandiant hanno identificato che nelle loro intrusioni, FIN7 aveva usato il phishing, l’hacking di sistemi di terze parti e altri mezzi per ottenere accesso iniziale e secondario alle reti delle vittime. Ad esempio, per infettare e compromettere gli obiettivi, FIN7 ha sviluppato esche di phishing con file di scorciatoia nascosti. Anche nuovo nella tecnica di FIN7 è l’uso del compromesso della catena di fornitura da parte del gruppo per ottenere ulteriore accesso al sistema.

L’organizzazione di hacking ha utilizzato una backdoor in Java Script per eseguire le sue operazioni durante i primi anni di esistenza di FIN7, personalizzandola lungo il percorso. CARBANAK, DICELOADER (noto anche come Lizar) e un malware backdoor basato su PowerShell POWERPLANT sono anche ampiamente utilizzati. Dopo aver stabilito l’accesso iniziale, FIN7 è famoso per utilizzare molti strumenti e tecniche diverse in base all’ambiente del cliente.

Unisciti a SOC Prime’s Detection as Code piattaforma per sbloccare l’accesso al più grande pool di contenuti di rilevazione dal vivo al mondo creato dai leader del settore e resistere agli attacchi potenziati con gli strumenti hacker più sofisticati utilizzati dagli APT. SOC Prime, con sede a Boston, USA, è alimentato da un team internazionale di esperti di primo livello dedicati a consentire la difesa informatica collaborativa. Resisti agli attacchi più rapidamente ed efficacemente con SOC Prime.