FIN7 APTグループの最新情報: ソフトウェアサプライチェーンの侵害を取り入れ、運用を強化

FIN7、お金目的でほぼ10年にわたり活動を続けてきたロシア系ハッキンググループが兵器を強化しています。FIN7の活動は一般的にビジネスメール詐欺（BEC）スキームとPOSシステムへの侵入の2つのカテゴリーに分類されます。この脅威アクターは金融機関に関心を集中していることで知られ、過去10年間で最も多産な金融脅威グループの1つとされています。

最新のキャンペーンでは、FIN7のアクターが攻撃ベクトルの範囲を拡大し、サプライチェーン攻撃を兵器に加えるなど、より速く、より強力に攻撃を行っています。

システム内のFIN7の活動を検出する

FIN7の活動は、世界中の多くの産業にとって脅威が増し続けています。APTは積極的に進化し、新たなバックドアやその他の悪意のあるツールを導入しています。以下のルールを、熟練した SOC Primeチーム と我々の熟練したThreat Bounty開発者 Aytek Aytemur により提供されたルールを用いて、FIN7により以前観察された不審な親子プロセス関係を特定してください：

親と子のプロセスのパターンによる可能性のあるFIN7（G0046）のディフェンスエバージョン（経由：プロセス作成）

この検出は以下のSIEM、EDR & XDRプラットフォーム用の翻訳があります：Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、Graylog、Regex Grep、RSA NetWitness、Microsoft Defender ATP、Sysmon、Apache Kafka ksqlDB、AWS OpenSearch、Microsoft PowerShell、Open Distro。

このルールは、MITRE ATT&CK®フレームワークv.10に準拠し、署名されたバイナリプロキシ実行を主なテクニック（T1218）とするディフェンスエバージョン戦術に対応しています。

FIN7（金融脅威グループ）は、新キャンペーンで複数のツールを使用（経由：プロセス作成）

この検出は以下のSIEM、EDR & XDRプラットフォーム用の翻訳があります：Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、Graylog、Regex Grep、RSA NetWitness、Microsoft Defender ATP、Sysmon、Apache Kafka ksqlDB、AWS OpenSearch、Microsoft PowerShell、Open Distro。

このルールは、MITRE ATT&CK®フレームワークv.10に準拠し、プロセス検出を主なテクニック（T1057）とする発見戦術に対応しています。

FIN7 APTグループは2013年に初めて浮上し、今日では約17の追加のUNCがFIN7と提携して堅調に進化しています。FIN7の避けられる侵入試みやその他の複雑なサイバー脅威を検出するためには、SOC PrimeのDetection as Codeプラットフォームで利用可能な検出コンテンツを使用してください。脅威検出コンテンツを開発していますか？サイバー防衛における世界最大の賞金プログラムに参加し、貢献するたびに継続的に収益を得ることができ、より安全なサイバー世界を目指して戦いましょう。

すべてのコンテンツを表示 Threat Bountyに参加する

FIN7の進化

FIN7グループ（別名Anunak、またはCobalt Group）は少なくとも2013年以来監視されています。FIN7ハッカーは、利用するマルウェアに基づいて Carbanakグループ と関連付けられることがありますが、研究者たちはいくつかの異なるハッカー組織について議論しています。

FIN7のハッキンググループは、世界中の金融機関を主なターゲットとして追いかけることで知られており、絶え間なく進化するハッカーのツールや技術を活用しています。FIN7 APTは米国およびヨーロッパでの大規模な窃盗に焦点を当てています。2018年の有名な指導者たちの逮捕にもかかわらず、FIN7のサイバー犯罪者たちは依然として活動を続け、ビジネスを成長させています。

研究者たちは Mandiant において、FIN7が侵入する際にフィッシング、第三者システムのハッキング、その他の手段を使用し、被害者ネットワークに初期および二次アクセスを取得したことを特定しました。例えば、ターゲットを感染させ侵害するために、FIN7は隠されたショートカットファイルを用いたフィッシングのルアーを開発しました。 さらにFIN7の技術で新たに取り入れられたのは、サプライチェーンの妥協を通じてシステムへの追加アクセスを得るというものです。

ハッキング組織は、FIN7の存在初期の数年間に運用を行うためにJavaスクリプトバックドアを使用し、その場でカスタマイズしていました。CARBANAK、DICELOADER（Lizarとしても知られる）、およびPowerShellベースのPOWERPLANTバックドアマルウェアも広く使用されています。初期アクセス確立後、FIN7は顧客の環境に基づいて多様なツールや技術を使用することで有名です。

参加する SOC PrimeのDetection as Code プラットフォームを使用して、業界リーダーによって作成された世界最大のライブ検出コンテンツプールへのアクセスを解放し、APTが使用する最も洗練されたハッカーツールで強化された攻撃に対抗しましょう。 SOC Primeは、米国ボストンに本社を置き、共同サイバー防衛の促進に専念する一流の国際チームによって支えられています。SOC Primeを使用すれば、攻撃により迅速かつ効率的に対応できます。