Rilevamento degli attacchi FIN7: gruppo motivato finanziariamente legato alla Russia sfrutta Google Ads per distribuire NetSupport RAT tramite file di installazione app MSIX
Indice:
Con la digitalizzazione globale del settore finanziario, le organizzazioni sono esposte a rischi crescenti in numerosi attacchi informatici sofisticati a scopo finanziario. Nel corso di aprile, i ricercatori di cybersecurity hanno identificato un aumento delle operazioni malevole attribuite al nefasto collettivo di hacker russo noto come FIN7 che prende di mira massicciamente le organizzazioni a livello mondiale per guadagno economico. Gli avversari sono stati osservati abusando di Google Ads armati, camuffati da marchi noti, per diffondere payload MSIX.
Rileva gli ultimi attacchi di FIN7
L’aumento degli attacchi motivati finanziariamente di FIN7 porta a perdite finanziarie sostanziali, violazioni dei dati e danni reputazionali per le organizzazioni colpite. L’aumento dell’estensione e della sofisticazione delle intrusioni evidenzia l’importanza critica di strategie di cybersecurity robuste, capacità di rilevamento delle minacce proattive e collaborazione nel settore per difendersi dalle minacce informatiche in evoluzione e proteggere i dati sensibili.
La piattaforma SOC Prime per la difesa informatica collettiva offre un insieme di regole Sigma curate per affrontare l’ultima ondata di attacchi informatici che sfruttano Google Ads malevoli per distribuire malware NetSupport RAT. Tutte le regole sono compatibili con oltre 30 soluzioni SIEM, EDR e Data Lake e mappate al framework MITRE ATT&CK®. Per agevolare l’indagine sulle minacce, i rilevamenti sono arricchiti con metadati estesi, inclusi collegamenti CTI, riferimenti ATT&CK e altri dettagli rilevanti. Basta cliccare sul pulsante Esplora Rilevamenti qui sotto per approfondire immediatamente lo stack di rilevamento pertinente.
I professionisti della sicurezza che cercano più contenuti di rilevamento associati al collettivo di hacker FIN7 per analizzare retrospettivamente gli attacchi possono navigare nel Threat Detection Marketplace utilizzando il tag “FIN7”
Descrizione dell’attacco di FIN7 che sfrutta Google Ads sponsorizzati
A metà primavera del 2024, l’unità di risposta alle minacce di eSentire (TRU) ha osservato una serie di attacchi informatici attribuiti a FIN7, un gruppo motivato finanziariamente legato alla Russia che è stato sotto i riflettori nel panorama delle minacce per oltre un decennio.
Nell’ultima campagna, gli avversari abusano attivamente di siti fraudolenti tramite Google Ads sponsorizzati che si spacciano per marchi rispettabili, inclusi AnyDesk, WinSCP, The Wall Street Journal e Google Meet, per distribuire installatori MSIX, che portano ulteriormente alla distribuzione di NetSupport RAT.
La catena d’infezione in uno degli incidenti osservati è innescata da un pop-up malevolo sul sito web armato dagli avversari attraverso Google Ads sponsorizzati, inducendo le vittime a scaricare un’estensione del browser fraudolenta. Quest’ultima appare come un file MSIX. Altri siti web operati da FIN7 e camuffati da marchi fidati sfruttano URLScan. Il file MSIX contiene uno script PowerShell destinato a raccogliere informazioni di sistema e stabilire una comunicazione con un server C2 per recuperare un altro script PowerShell codificato. Quest’ultimo viene utilizzato per scaricare ed eseguire il NetSupport RAT dal server remoto controllato dagli avversari.
La catena d’infezione nel secondo scenario riflette il primo. Il sito web armato meet-go[.]click induce gli utenti a scaricare un installer fraudolento MSIX MeetGo, che dopo alcune ore distribuisce il NetSupport RAT sul dispositivo compromesso. Successivamente, gli avversari stabiliscono una connessione alla macchina tramite NetSupport RAT. Gli hacker ottengono la persistenza utilizzando operazioni pianificate e procedono ulteriormente con l’infezione diffondendo un altro ceppo malevolo tracciato come DiceLoader tramite uno script Python.
Per mitigare i rischi degli attacchi FIN7, i difensori raccomandano di rimanere sempre vigili quando si clicca su Google Ads, affidarsi a fonti verificate per il download di software e condurre programmi di sensibilizzazione al phishing per i dipendenti a livello organizzativo.
Gli attacchi informatici in cui gli hacker armano siti web ingannevoli che impersonano marchi fidati per guadagni economici rappresentano una sfida per le organizzazioni a causa della loro sofisticazione crescente e degli estesi toolkit avversari, il che sottolinea la necessità di ultrareattività e l’adozione di strategie di cybersecurity proattive. Sfruttando Attack Detective, i team di sicurezza possono abilitare l’orchestrazione intelligente dei dati e automatizzare le capacità di ricerca delle minacce per minimizzare i rischi di potenziali intrusioni nel minor tempo possibile, massimizzando al contempo gli investimenti nella sicurezza.
