FIN7 Power Hour: 敵の考古学とFIN7の進化

3 min read

最近公開されている研究では、FIN7と重複する脅威グループが、REVIL、DARKSIDE、BLACKMATTER、ALPHVランサムウェアを含む標的型ランサムウェア作戦に移行したと主張されいます。ランサムウェア攻撃へと移行しているとされる中、Mandiantは、2019年に発表したMahalo FIN7以来、公にはしてこなかったFIN7の進化に関する調査を公開します。

このブログでは、Mandiantが直接対応した過去から最近まで侵害事件を有機的に調査し、複数のUNCグループをFIN7に統合するプロセスについて説明しています。このプロセスにより、2022年1月に、これまで疑われていた8つのUNCグループをFIN7に統合することができました。また、新しいマルウェアの使用、新しい初期アクセスベクターの組み込み、マネタイズ戦略の変化など、この間のFIN7の活動における顕著な変化も取り上げています。

FIN7は、過去2年間に渡って継続的に開発してきたPOWERPLANTと呼ばれる新しいバックドアを含め、侵入の至る所でPowerShellを活用し続けています。また、BIRDWATCHダウンローダーの新バージョンも開発されており、CROWVIEWやFOWLGAZEとして追跡されていることも確認されました。
FIN7の初期アクセス手法は、従来のフィッシング手法に加え、ソフトウェアのサプライチェーン侵害や窃取した認証情報の使用など、多様化しています。また、FIN7はLOADOUTやGRIFFONの代わりに、POWERPLANTを第一段階のマルウェアとして使用していることが確認されています。
複数の組織でFIN7が関与した活動に続いてデータ盗難による脅迫やランサムウェアが展開されているのに加え、技術的な重複も見られることから、FIN7の行為者が長期にわたってさまざまなランサムウェアの操作に関与していることが示唆されています。
またMandiantは、DICELOADERにつながる「BadUSB」攻撃や、BIRDWATCHにつながるクラウドマーケティングプラットフォームを活用した複数のフィッシング攻撃など、FIN7と思われる別のUNCグループの攻撃活動を追跡調査しています。

Mandiantでは、2017年に初めてFIN7に関する脅威レポートを公開し、調査結果を公表しました。それ以来、FIN7の活動に関する複数のブログを公開しており、さらに詳細なレポートをMandiant Advantageで公開しています。このブログでは、直近のFIN7侵入活動の検証に焦点を当てるとともに、使用したアトリビューション手法についてもご紹介します。

＊＊＊途中割愛＊＊＊

まとめ

2018年にFIN7のメンバーが起訴され、2021年に米国司法省が発表した関連する裁判の判決にもかかわらず、FIN7の少なくとも一部のメンバーは活動を続け、時間をかけて犯罪行為を進化させ続けています。FIN7は、その進化を通じて、活動のスピード、標的の範囲、さらにはアンダーグラウンドでの他のランサムウェア攻撃との関係性を高めてきた可能性があります。

※TTPの詳細など、本レポートの英語オリジナルはこちらを参照ください。

Indicators of Compromise (IOCs)

Indicator	Notes
`0c6b41d25214f04abf9770a7bdfcee5d`	BOATLAUNCH 32bit
`21f153810b82852074f0f0f19c0b3208`	BOATLAUNCH 64bit
`02699f95f8568f52a00c6d0551be2de5`	POWERPLANT
`0291df4f7303775225c4044c8f054360`	POWERPLANT
`0fde02d159c4cd5bf721410ea9e72ee2`	POWERPLANT
`2cbb015d4c579e464d157faa16994f86`	POWERPLANT
`3803c82c1b2e28e3e6cca3ca73e6cce7`	POWERPLANT
`5a6bbcc1e44d3a612222df5238f5e7a8`	POWERPLANT
`833ae560a2347d5daf05d1f670a40c54`	POWERPLANT
`b637d33dbb951e7ad7fa198cbc9f78bc`	POWERPLANT
`bce9b919fa97e2429d14f255acfb18b4`	POWERPLANT
`d1d8902b499b5938404f8cece2918d3d`	POWERPLANT
`edb1f62230123abf88231fc1a7190b60`	POWERPLANT
`findoutcredit[.]com`	POWERPLANT C2
`againcome[.]com`	POWERPLANT C2
`modestoobgyn[.]com`	POWERPLANT C2
`myshortbio[.]com`	POWERPLANT C2
`estetictrance[.]com`	POWERPLANT C2
`internethabit[.]com`	POWERPLANT C2
`bestsecure2020[.]com`	POWERPLANT C2
`chyprediction[.]com`	POWERPLANT C2
`d405909fd2fd021372444b7b36a3b806`	POWERTRASH Cryptor & CARBANAK Payload
`122cb55f1352b9a1aeafc83a85bfb165`	CROWVIEW (BIRDWATCH/JssLoader Variant)
`domenuscdm[.]com`	CROWVIEW/LOADOUT C2
`936b142d1045802c810e86553b332d2d`	LOADOUT
`23e1725769e99341bc9af48a0df64151`	LOADOUT
`4d56a1ca28d9427c440ec41b4969caa2`	LOADOUT
`50260f97ac2365cf0071e7c798b9edda`	LOADOUT
`spontaneousance[.]com`	LOADOUT C2
`fashionableeder[.]com`	LOADOUT C2
`incongruousance[.]com`	LOADOUT C2
`electroncador[.]com`	LOADOUT C2
`6fba605c2a02fc62e6ff1fb8e932a935`	BEAKDROP
`49ac220edf6d48680f763465c4c2771e`	BEACON
`astara20[.]com`	BEACON C2
`coincidencious[.]com`	BEACON C2
`52f5fcaf4260cb70e8d8c6076dcd0157`	Trojanized installer containing Atera Agent
`78c828b515e676cc0d021e229318aeb6`	WINGNIGHT
`70bf088f2815a61ad2b1cc9d6e119a7f`	WINGNIGHT
`4961aec62fac8beeafffa5bfc841fab8`	FLYHIGH

Mandiant Security Validation Actions

Organizations can validate their security controls against more than 25 actions with Mandiant Security Validation.

VID	Name
A150-527	Command and Control - FIN7, BATELEUR, Check-in
A150-528	Command and Control - FIN7, GRIFFON, Check-in
A151-165	Command and Control - FIN7, GRIFFON, DNS Query #1
A151-166	Command and Control - FIN7, GRIFFON, DNS Query #2
A104-585	Host CLI - FIN7, Local Javascript Execution via WMI and Mshta
A150-546	Malicious File Transfer - FIN7, CARBANAK, Download, Variant #1
A150-548	Malicious File Transfer - FIN7, CARBANAK, Download, Variant #3
A150-710	Malicious File Transfer - FIN7, DICELOADER, Download, Variant #1
A150-549	Malicious File Transfer - FIN7, DRIFTPIN, Download, Variant #1
A150-550	Malicious File Transfer - FIN7, DRIFTPIN, Download, Variant #2
A151-168	Malicious File Transfer - FIN7, GRIFFON, Download, JavaScript Variant
A150-553	Malicious File Transfer - FIN7, GRIFFON, Download, Variant #1
A150-554	Malicious File Transfer - FIN7, GRIFFON, Download, Variant #2
A150-555	Malicious File Transfer - FIN7, GRIFFON, Download, Variant #3
A150-572	Malicious File Transfer - FIN7, SUPERSOFT, Download, Variant #1
A150-729	Malicious File Transfer - FIN7, TAKEOUT, Download, Variant #1
A150-730	Malicious File Transfer - FIN7, TAKEOUT, Download, Variant #2
A150-731	Malicious File Transfer - FIN7, TAKEOUT, Download, Variant #3
A150-585	Phishing Email - Malicious Attachment, FIN7, BATELEUR DOC Lure
A150-586	Phishing Email - Malicious Attachment, FIN7, GRIFFON DOCM Lure
A151-167	Phishing Email - Malicious Attachment, FIN7, GRIFFON, Windows 11 Themed Lure
A150-587	Phishing Email - Malicious Attachment, FIN7, Tracking Pixel
A150-590	Protected Theater - FIN7, BATELEUR, Execution
A151-044	Protected Theater - FIN7, CARBANAK, Execution
A150-366	Protected Theater - FIN7, CULTSWAP, Execution
A150-591	Protected Theater - FIN7, GRIFFON, Execution
A151-170	Protected Theater - FIN7, GRIFFON, Execution, JavaScript Variant
A151-169	Protected Theater - FIN7, GRIFFON, Execution, Word Document Variant

MITRE ATT&CK Mapping

Throughout 2020 and 2021, Mandiant has observed FIN7 use the following techniques:

Execution

T1059: Command and Scripting Interpreter
T1059.001: PowerShell
T1059.003: Windows Command Shell
T1059.005: Visual Basic
T1059.007: JavaScript
T1204.001: Malicious Link
T1204.002: Malicious File
T1569.002: Service Execution

Initial Access

T1195.002: Compromise Software Supply Chain
T1199: Trusted Relationship
T1566.001: Spearphishing Attachment
T1566.002: Spearphishing Link

Impact

T1491.002: External Defacement

Resource Development

T1583.003: Virtual Private Server
T1588.003: Code Signing Certificates
T1588.004: Digital Certificates
T1608.003: Install Digital Certificate
T1608.005: Link Target

Defense Evasion

T1027: Obfuscated Files or Information
T1027.005: Indicator Removal from Tools
T1036: Masquerading
T1036.003: Rename System Utilities
T1055: Process Injection
T1070.004: File Deletion
T1140: Deobfuscate/Decode Files or Information
T1218.010: Regsvr32
T1218.011: Rundll32
T1497.001: System Checks
T1553.002: Code Signing
T1564.003: Hidden Window
T1620: Reflective Code Loading

Collection

T1113: Screen Capture
T1213: Data from Information Repositories
T1560: Archive Collected Data

Lateral Movement

T1021.001: Remote Desktop Protocol
T1021.004: SSH

Command and Control

T1071.001: Web Protocols
T1090: Proxy
T1095: Non-Application Layer Protocol
T1105: Ingress Tool Transfer
T1132.001: Standard Encoding
T1573.002: Asymmetric Cryptography

Discovery

T1012: Query Registry
T1033: System Owner/User Discovery
T1057: Process Discovery
T1069: Permission Groups Discovery
T1069.002: Domain Groups
T1082: System Information Discovery
T1083: File and Directory Discovery
T1087: Account Discovery
T1087.002: Domain Account
T1482: Domain Trust Discovery
T1518: Software Discovery

Credential Access

T1110.002: Password Cracking
T1555.003: Credentials from Web Browsers
T1558.003: Kerberoasting

Mandiant Advantage

Mandiantソリューション

Mandiantサービス

サイバー脅威インテリジェンス

リソース・センター

会社概要