Atualizações do Grupo APT FIN7: Incorporando Comprometimento da Cadeia de Suprimentos de Software e Aumentando Operações

FIN7, um grupo de hackers ligado à Rússia, motivado financeiramente, que está ativo há quase uma década, aprimora seu arsenal. As operações do FIN7 em geral se dividem em duas categorias: golpes de Comprometimento de Email Corporativo (BEC) e intrusões em sistemas de ponto de venda (PoS). O ator da ameaça é conhecido por focar seu interesse em organizações financeiras, inclusive alcançando o status de um dos grupos de ameaça financeira mais prolíficos da última década.

Em sua mais recente campanha, os atores do FIN7 atacam mais rápido e com mais força, expandindo o alcance de seus vetores de ataque, por exemplo, também introduzindo um ataque à cadeia de suprimentos em seu arsenal.

Detecte Atividade do FIN7 no Seu Sistema

As atividades do FIN7 representam uma ameaça crescente para muitas indústrias em todo o mundo. O APT está progredindo ativamente, avançando para novos horizontes, introduzindo uma nova porta dos fundos e outras novas ferramentas maliciosas. Utilize as seguintes regras fornecidas pelos experientes especialistas da equipe da SOC Prime e nosso hábil desenvolvedor Threat Bounty Aytek Aytemur para identificar relações suspeitas de processos pai-filho observadas anteriormente pelo FIN7:

Possível Evasão de Defesa do Fin7 (G0046) por Padrão de Processo Pai e Filho (via criação de processo)

Esta detecção tem traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Sysmon, Apache Kafka ksqlDB, AWS OpenSearch, Microsoft PowerShell e Open Distro.

A regra está alinhada com a última versão do framework MITRE ATT&CK® v.10, abordando a tática de Evasão de Defesa com Execução de Proxy Binário Assinado como técnica principal (T1218).

FIN7 (Grupo de Ameaça Financeira) usa Múltiplas Ferramentas em sua Nova Campanha (via criação de processo)

Esta detecção tem traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Sysmon, Apache Kafka ksqlDB, AWS OpenSearch, Microsoft PowerShell e Open Distro.

A regra está alinhada com a última versão do framework MITRE ATT&CK® v.10, abordando a tática de Descoberta com Descoberta de Processo como técnica principal (T1057).

O grupo APT FIN7 apareceu pela primeira vez em 2013 e hoje o cluster está forte, com cerca de 17 UNC adicionais afiliando-se ao FIN7. Para detectar tentativas de intrusão, como a evasão do FIN7, e outras ameaças cibernéticas complexas, utilize o conteúdo de detecção disponível na plataforma Detection as Code da SOC Prime. Trabalha com conteúdos de detecção de ameaças? Junte-se ao maior programa de recompensas do mundo para defensores cibernéticos. Compartilhe seu conteúdo de detecção via nossa plataforma Detection as Code e ganhe receitas recorrentes por suas contribuições enquanto luta por um mundo cibernético mais seguro.

Ver Todo o Conteúdo Junte-se ao Threat Bounty

Evolução do FIN7

O grupo FIN7 (também conhecido como Anunak ou Cobalt Group) está no radar desde pelo menos 2013. Os hackers do FIN7 são frequentemente associados ao grupo Carbanak com base no malware utilizado, mas os pesquisadores debatem sobre várias organizações de hackers diferentes.

O grupo de hackers FIN7 é conhecido por perseguir organizações financeiras em todo o mundo como seus principais alvos, empregando um arsenal de ferramentas e técnicas de hackers em constante evolução. O APT do FIN7 tem se concentrado em roubos em larga escala nos Estados Unidos e na Europa. Apesar das prisões dos líderes de alto escalão em 2018, os cibercriminosos do FIN7 continuam a operar e expandir seus negócios.

Pesquisadores da Mandiant identificaram que em suas intrusões, o FIN7 utilizou phishing, hackeamento de sistemas de terceiros e outros meios para obter acesso inicial e secundário às redes das vítimas. Por exemplo, para infectar e comprometer alvos, o FIN7 desenvolveu iscas de phishing com arquivos de atalho ocultos. Também é nova na técnica do FIN7 a utilização do comprometimento da cadeia de suprimentos para obter acesso adicional ao sistema.

A organização de hackers empregou um backdoor em Java Script para realizar suas operações durante os primeiros anos de existência do FIN7, personalizando-o no processo. CARBANAK, DICELOADER (também conhecido como Lizar) e um malware de backdoor baseado em PowerShell chamado POWERPLANT também são amplamente usados. Após estabelecer o acesso inicial, o FIN7 é famoso por empregar muitas ferramentas e técnicas diferentes com base no ambiente do cliente.

Junte-se à plataforma Detection as Code da SOC Prime para desbloquear acesso ao maior pool de conteúdo de detecção ao vivo do mundo, criado pelos líderes da indústria, e resistir aos ataques impulsionados pelas ferramentas de hackers mais sofisticadas usadas por APTs. SOC Prime, com sede em Boston, EUA, é movida por uma equipe internacional de especialistas de alto nível dedicada a habilitar a defesa cibernética colaborativa. Resista aos ataques de forma mais rápida e eficiente com a SOC Prime.