FIN7 공격 탐지: 러시아와 연관된 금전적 동기 그룹, Google Ads를 악용하여 MSIX 앱 설치 관리자를 통해 NetSupport RAT 배포

금융 부문의 글로벌 디지털화로 인해, 조직들은 증가하는 위험에 노출되고 있습니다 수많은 정교한 금전적 동기 부여 사이버 공격을 받고 있습니다. 4월 동안, 사이버 보안 연구원들은 러시아의 악명 높은 해킹 집단 FIN7이 금전적 이익을 위해 전 세계 조직들을 대규모로 타겟팅하는 악의적 작전의 급증을 확인했습니다. 공격자들은 무기화된 Google Ads를 잘 알려진 브랜드로 위장하여 MSIX 페이로드를 떨어뜨리는 방법을 악용하고 있음을 관찰했습니다.

FIN7 최신 공격 탐지

FIN7의 금전적 동기 부여 공격의 급증은 피해를 입은 조직에 막대한 재정 손실, 데이터 유출 및 평판 손상으로 이어집니다. 침투의 범위와 정교함이 증가함에 따라 강력한 사이버 보안 전략, 적극적인 위협 탐지 능력, 그리고 진화하는 사이버 위협으로부터 방어하고 민감한 데이터를 보호하기 위한 산업 내 협력의 중요성이 강조되고 있습니다.

집단 사이버 방어를 위한 SOC Prime 플랫폼은 악성 Google Ads를 악용하여 NetSupport RAT 악성코드를 배포하는 최신 사이버 공격 급증에 대응하는 일련의 큐레이션된 Sigma 규칙을 제공합니다. 모든 규칙은 30개 이상의 SIEM, EDR 및 데이터 레이크 솔루션과 호환되며, MITRE ATT&CK® 프레임워크에 매핑됩니다. 위협 조사를 원활하게 하기 위해 탐지는 넓은 메타데이터, CTI 링크, ATT&CK 참조 및 기타 관련 세부 정보로 확장됩니다. 아래의 탐지 탐색 버튼을 클릭하여 관련 탐지 스택을 즉시 상세히 조사하십시오.

탐지 탐색

FIN7 해커 집단과 관련된 더 많은 탐지 콘텐츠를 찾는 보안 전문가들은 “FIN7” 태그를 사용하여 Threat Detection Marketplace를 탐색할 수 있습니다.

구글 광고를 스폰서링하여 착취하는 FIN7 공격 설명

2024년 봄 중반, eSentire의 위협 대응 유닛 (TRU) 는 FIN7에 기인하는 일련의 사이버 공격을 관찰했습니다. 이는 over a decade 동안 위협 환경에서 주목받아온 러시아에 연결된 금전적 동기 부여 그룹입니다.

최신 캠페인에서, 공격자들은 AnyDesk, WinSCP, The Wall Street Journal, Google Meet와 같은 평판이 좋은 브랜드로 가장하여 스폰서된 Google Ads를 통해 fraudulent 웹사이트를 악용하여 MSIX 설치 프로그램을 배포하고 있습니다. 이는 NetSupport RAT의 배포로 이어집니다.

관찰된 사건 중 하나에서 감염 체인은 스폰서된 Google Ads를 통해 적들이 무기화한 웹사이트에 연결된 악성 팝업으로 인해 시작되며, 피해자들은 fraudulent 브라우저 애드온을 다운로드하게 됩니다. 후자는 MSIX 파일로 나타납니다. FIN7이 운영하고 신뢰할 수 있는 브랜드로 위장한 다른 웹사이트들은 URLScan을 활용합니다. MSIX 파일은 시스템 정보를 수집하고 C2 서버와의 통신을 설정하여 또 다른 인코딩된 PowerShell 스크립트를 가져오도록 설계된 PowerShell 스크립트를 포함하고 있습니다. 후자는 원격 서버에서 제어하는 NetSupport RAT를 다운로드하고 실행하는 데 사용됩니다.

두 번째 시나리오에서는 감염 체인이 첫 번째와 유사합니다. 무기화된 웹사이트 meet-go[.]click는 사용자를 속여 fraudulent MSIX MeetGo 설치 프로그램을 다운로드하도록 유도하며, 이것은 몇 시간 후에 손상된 기기에 NetSupport RAT를 전달합니다. 이후, 공격자들은 NetSupport RAT를 통해 기기에 연결을 설정합니다. 해커들은 스케줄된 작업을 사용하여 영속성을 확보하고 Python 스크립트를 통한 DiceLoader로 추적되는 또 다른 악성 스트레인을 확산시키면서 감염을 계속 진행합니다.

FIN7 공격 위험을 완화하기 위해, 방어자들은 Google Ads를 클릭할 때 항상 신중함을 유지하고 소프트웨어 다운로드를 위한 검증된 소스를 이용하며 조직 전반에 걸쳐 피싱 인식 프로그램을 운영할 것을 권장합니다.

신뢰할 수 있는 브랜드를 가장하여 금전적 이익을 위해 속임수 웹사이트를 무기화하는 사이버 공격은 조직에 상당한 어려움을 초래하며 이는 적들의 도구가 증가한 난이도와 광범위함을 나타냅니다. 이는 초고속 대응과 적극적인 사이버 보안 전략의 채택이 필요함을 강조합니다. 이를 통해 Attack Detective을 활용하여 보안 팀은 스마트 데이터 오케스트레이션을 가능하게 하고 잠재적 침투 위험을 최대한 빠르게 최소화 하는 동안 보안 투자를 극대화 하여 위협 사냥 능력을 자동화할 수 있습니다.