FIN7 APT 그룹 업데이트: 소프트웨어 공급망 공격 통합 및 운영 강화

FIN7, 거의 10년 동안 활동하고 있는 재정적 동기를 가진 러시아와 연계된 해킹 그룹으로, 그들의 무기를 강화하고 있습니다. 일반적으로 FIN7 작전은 비즈니스 이메일 침해(BEC) 사기 및 판매시점(PoS) 시스템 침입의 두 가지 범주로 나뉩니다. 이 위협 행위자는 금융 조직에 초점을 맞추는 것으로 알려져 있으며, 지난 10년 동안 가장 많을 활동을 한 금융 위협 그룹의 하나로 평가받고 있습니다.

최근 캠페인에서 FIN7 행위자들은 더 빠르고 강력하게 공격하고 있으며, 공격 벡터의 범위를 확장하고 공급망 공격을 그들의 무기에 추가하고 있습니다.

시스템에서 FIN7 활동 감지하기

FIN7 활동은 전 세계 다양한 산업에 점점 더 큰 위협을 제기합니다. APT는 지속적으로 발전하여 새로운 지평을 열고 새로운 백도어 및 기타 악성 도구를 도입하고 있습니다. 다음 전문가 팀이 제공한 규칙을 활용하세요. SOC Prime 팀 그리고 우리의 숙련된 위협 현상금 개발자인 Aytek Aytemur 을 통해 이전의 FIN7에 의해 관찰된 의심스러운 부모-자식 프로세스 관계를 식별하십시오:

부모 및 자식 프로세스 패턴을 통한 Fin7(G0046) 방어 회피 가능성 (via process_creation)

이 감지는 다음의 SIEM, EDR 및 XDR 플랫폼에 대한 번역을 포함합니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Sysmon, Apache Kafka ksqlDB, AWS OpenSearch, Microsoft PowerShell, 및 Open Distro.

이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10과 일치하며, 서명된 바이너리 프록시 실행을 주된 기법(T1218)으로 사용하는 방어 회피 전술에 대응합니다.

FIN7(금융 위협 그룹)은 새로운 캠페인에서 다중 도구 사용 (via process_creation)

이 감지는 다음의 SIEM, EDR 및 XDR 플랫폼에 대한 번역을 포함합니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Sysmon, Apache Kafka ksqlDB, AWS OpenSearch, Microsoft PowerShell, 및 Open Distro.

이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10과 일치하며 프로세스 발견을 주요 기법(T1057)으로 사용하는 검색 전술에 대응합니다.

FIN7 APT 그룹은 2013년에 처음 등장했으며, 현재는 강력하게 발전하고 있으며 약 17개의 추가 UNC가 FIN7에 소속되어 있습니다. FIN7의 회피 시도와 같은 침입 시도 및 기타 복잡한 사이버 위협을 감지하려면 SOC Prime의 Detection as Code 플랫폼에서 사용할 수 있는 탐지 콘텐츠를 사용하십시오. 위협 탐지 콘텐츠 작업 중이신가요? 세계 최대의 사이버 방어자 현상금 프로그램에 참여하세요. 우리의 Detection as Code 플랫폼을 통해 탐지 콘텐츠를 공유하고 기여에 대한 지속적인 수익을 얻으며 더 안전한 사이버 세계를 위해 싸우세요.

모든 콘텐츠 보기 위협 현상금에 참여하기

FIN7의 진화

FIN7 그룹(일명 Anunak, 또는 Cobalt 그룹)은 적어도 2013년부터 레이더에 포착되었습니다. FIN7 해커들은 종종 Carbanak 그룹 이 사용한 악성 소프트웨어를 기반으로 하여 여러 다른 해커 조직과 연관지어집니다.

FIN7 해킹 그룹은 세계적으로 금융 조직을 주요 대상으로 삼고 있는 것으로 알려져 있으며, 지속적으로 진화하는 해커 도구와 기술을 사용합니다. FIN7 APT는 미국과 유럽에서 대규모 절도에 초점을 맞추고 있습니다. 2018년 주목할 만한 주요 지도자들이 체포되었음에도 불구하고, FIN7 사이버범죄자들은 계속 운영하고 있으며 그들의 사업을 확장하고 있습니다.

Researchers at Mandiant 의 연구자들은 FIN7이 침입 시 피싱, 제3자 시스템 해킹 및 기타 수단을 사용하여 피해자 네트워크에 처음 및 이차 액세스를 확보했음을 밝혀냈습니다. 예를 들어, 목표를 감염시켜 타협시키기 위해 FIN7은 숨겨진 바로 가기 파일이 포함된 피싱 미끼를 개발했습니다. FIN7의 기술에 새롭게 추가된 것은 추가 시스템 액세스를 얻기 위한 공급망 컴프로마이즈 사용입니다.

해킹 조직은 FIN7 존재 초기 몇 년 동안 자바 스크립트 백도어를 사용하여 작전을 수행하며 상황에 맞게 맞춤화했습니다. CARBANAK, DICELOADER(일명 Lizar) 및 PowerShell 기반의 POWERPLANT 백도어 악성코드도 널리 사용됩니다. 초기 액세스를 확보한 후, FIN7은 고객 환경에 따라 다양한 도구와 기술을 사용하는 것으로 유명합니다.

가입하기 SOC Prime의 Detection as Code 플랫폼에 가입하여 업계 리더들이 만든 세계 최대의 실시간 탐지 콘텐츠 풀에 접근하고 APT들이 사용하는 가장 정교한 해커 도구들로 강화된 공격에 저항하세요. SOC Prime, 미국 보스턴에 본사를 두고 있으며, 공동의 사이버 방어를 가능하게 하려는 국제 티어-1 전문가 팀에 의해 운영됩니다. SOC Prime을 통해 더 빠르고 효율적으로 공격에 맞서세요.