Detecção de Ataques FIN7: Grupo Financeiramente Motivado com Ligações à Rússia Explora Anúncios do Google para Distribuir NetSupport RAT por meio de Arquivos MSIX App Installer
Índice:
Com a digitalização global do setor financeiro, as organizações estão expostas a riscos crescentes em numerosos cibernéticos sofisticados motivados financeiramente. Ao longo de abril, pesquisadores de cibersegurança identificaram um aumento em operações maliciosas atribuídas ao nefasto coletivo de hackers russos conhecido como FIN7 visando massivamente organizações em todo o mundo para ganho financeiro. Observou-se que os adversários estão abusando de anúncios do Google armados disfarçados de marcas conhecidas para disseminar cargas úteis de MSIX.
Detectar os Últimos Ataques do FIN7
O aumento dos ataques motivados financeiramente do FIN7 leva a perdas financeiras substanciais, violações de dados e danos reputacionais para as organizações afetadas. O aumento no escopo e na sofisticação das intrusões destaca a importância crítica de estratégias robustas de cibersegurança, capacidades proativas de detecção de ameaças e colaboração dentro do setor para defender-se contra ameaças cibernéticas em evolução e proteger dados sensíveis.
A Plataforma SOC Prime para defesa cibernética coletiva oferece um conjunto de regras Sigma curadas que abordam o último aumento de ataques cibernéticos explorando anúncios maliciosos do Google para distribuir o malware NetSupport RAT. Todas as regras são compatíveis com mais de 30 soluções SIEM, EDR e Data Lake e mapeadas para o framework MITRE ATT&CK®. Para facilitar a investigação de ameaças, as detecções são enriquecidas com metadados extensos, incluindo links de CTI, referências ATT&CK e outros detalhes relevantes. Basta clicar no Explore Detecções botão abaixo e aprofundar imediatamente no stack de detecção relevante.
Profissionais de segurança que buscam mais conteúdo de detecção associado ao coletivo de hackers FIN7 para analisar os ataques retrospectivamente podem navegar no Marketplace de Detecção de Ameaças usando a tag “FIN7”.
Descrição do Ataque FIN7 Explorando Anúncios Patrocinados do Google
No meio da primavera de 2024, a Unidade de Resposta a Ameaças (TRU) da eSentire observou uma série de ataques cibernéticos atribuídos ao FIN7, um grupo motivado financeiramente ligado à Rússia que tem estado no centro das atenções no cenário de ameaças por mais de uma década.
Na campanha mais recente, os adversários abusam ativamente de sites fraudulentos via anúncios patrocinados do Google que se passam por marcas respeitáveis, incluindo AnyDesk, WinSCP, The Wall Street Journal e Google Meet, para distribuir instaladores MSIX, o que leva à implantação do NetSupport RAT.
A cadeia de infecção em um dos incidentes observados é acionada por um pop-up malicioso no site armado por adversários através de anúncios patrocinados do Google, atraindo vítimas para baixar um complemento de navegador fraudulento. Este último aparece como um arquivo MSIX. Outros sites operados pelo FIN7 e disfarçados como marcas confiáveis usam o URLScan. O arquivo MSIX contém um script PowerShell destinado a coletar informações do sistema e estabelecer comunicação com um servidor C2 para buscar outro script PowerShell codificado. Este último é usado para baixar e executar o NetSupport RAT a partir do servidor remoto controlado por adversários.
A cadeia de infecção no segundo cenário espelha a primeira. O site armado meet-go[.]click atrai os usuários a baixar um instalador MSIX MeetGo fraudulento, que algumas horas depois entregue o NetSupport RAT no dispositivo comprometido. Depois, os adversários estabelecem uma conexão com a máquina via NetSupport RAT. Os hackers alcançam a persistência usando tarefas agendadas e prosseguem com a infecção disseminando outra cepa maliciosa rastreada como DiceLoader através de um script em Python.
Para mitigar os riscos de ataque do FIN7, os defensores recomendam sempre estar vigilantes ao clicar em anúncios do Google, confiar em fontes verificadas para downloads de software e realizar programas de conscientização sobre phishing para os funcionários em toda a organização.
Ataques cibernéticos em que hackers armam sites enganosos personificando marcas confiáveis para ganho financeiro representam desafios para as organizações devido à sua sofisticação aumentada e extensos conjuntos de ferramentas dos adversários, o que ressalta a necessidade de ultra-responsividade e a adoção de estratégias proativas de cibersegurança. Ao utilizar o Attack Detective, as equipes de segurança podem habilitar a orquestração de dados inteligentes e automatizar as capacidades de caça a ameaças para minimizar os riscos de possíveis intrusões no menor tempo possível enquanto maximizam os investimentos em segurança.
