FIN7攻撃の検出：ロシア系の財政的動機のあるグループがGoogle広告を悪用してMSIXアプリインストーラファイル経由でNetSupport RATを配信

金融部門のグローバルなデジタル化に伴い、組織は増大するリスクにさらされています 多くの洗練された金銭的動機のサイバー攻撃。4月中旬、サイバーセキュリティ研究者は、悪名高いロシアのハッキング集団FIN7による組織を対象とした悪意のある操作の急増を特定しました。敵対者は有名ブランドを装ったGoogle広告を悪用し、武器化されたMSIXペイロードを配布しています。

FIN7の最新の攻撃を発見する

FIN7による金銭的動機の攻撃の急増は、影響を受けた組織にとって大きな財務的損失、データ流出、評判の損傷をもたらします。侵入の範囲と洗練度の高まりは、進化するサイバー脅威から守り、機密データを保護するためには、強固なサイバーセキュリティ戦略、プロアクティブな脅威検出能力、業界内の協力の重要性を強調しています。

集合的サイバー防御のためのSOC Prime Platformは、悪意のあるGoogle広告を悪用してNetSupport RATマルウェアを配布する最新のサイバー攻撃に対応するための特選Sigmaルールセットを提供します。すべてのルールは30以上のSIEM、EDR、データレイクソリューションに対応し、 MITRE ATT&CK®フレームワークにマッピングされています。脅威調査をスムーズにするために、検出はCTIリンクやATT&CK参照を含む広範なメタデータで豊富にされています。以下の 検出を探る ボタンをクリックし、関連する検出スタックに即座にドリルダウンしてください。

検出を探る

FIN7ハッカー集団に関連するさらなる検出コンテンツを求めて攻撃を遡及的に分析したいセキュリティ専門家は、「FIN7」タグを使用してThreat Detection Marketplaceを閲覧できます。

スポンサー付きGoogle広告を悪用したFIN7攻撃の説明

2024年春中頃、eSentireの脅威対応ユニット（TRU）は FIN7に起因する一連のサイバー攻撃を観察しました。ロシアに関連する金銭的動機を持つグループで、10年以上にわたり脅威の状況で注目を集めています。

最新のキャンペーンでは、敵対者はスポンサー付きGoogle広告を通じて有名ブランドに偽装した詐欺サイトを悪用し、AnyDesk、WinSCP、The Wall Street Journal、Google Meetなどのブランドを利用してMSIXインストーラーを配布し、その後さらなるNetSupport RATの展開につながっています。

観察された事件の1つでは、敵対者がスポンサー付きGoogle広告を利用して武器化されたWebサイト上の悪意のあるポップアップをトリガーし、被害者を誘導して詐欺的なブラウザアドオンをダウンロードさせます。後者はMSIXファイルとして見えます。他の信頼ブランドに偽装したFIN7が運営するWebサイトはURLScanを活用しています。MSIXファイルにはシステム情報を収集しC2サーバーとの通信を確立して別のエンコードされたPowerShellスクリプトを取得するためのPowerShellスクリプトが含まれています。後者は敵対者によって制御されるリモートサーバーからNetSupport RATをダウンロードし実行するために使用されます。

第二のシナリオでの感染チェーンは最初のものを反映しています。武器化されたWebサイトmeet-go[.]clickはユーザーを誘導して詐欺的なMSIX MeetGoインストーラーをダウンロードさせ、その数時間後にNetSupport RATを侵害されたデバイスに配信します。その後、敵対者はNetSupport RATを介して機器への接続を確立します。ハッカーはスケジュールされたタスクを使用して持続性を確保し、その後Pythonスクリプトを使用してDiceLoaderと追跡される別の悪意のある株を拡散して感染を進展させます。

FIN7攻撃のリスクを軽減するために、防御者はGoogle広告をクリックする際に常に警戒を続け、ソフトウェアダウンロードには信頼できるソースを用い、組織全体の従業員に対してフィッシング意識向上プログラムを実施することをお勧めします。

信頼できるブランドに偽装した欺瞞的なウェブサイトを武器化して金銭的利益を得るサイバー攻撃は、組織にとってその洗練度の増加と広範囲な敵対ツールキットが課題をもたらし、超速応答性とプロアクティブなサイバーセキュリティ戦略の採用が求められています。利用することによって 攻撃探偵、セキュリティチームはスマートデータオーケストレーションを可能にし、脅威ハンティング能力を自動化して最短時間で潜在的な侵入のリスクを最小限にしながらセキュリティ投資を最大化できます。