FIN7 Power Hour: 敵の考古学とFIN7の進化
最近公開されている研究では、FIN7と重複する脅威グループが、REVIL、DARKSIDE、BLACKMATTER、ALPHVランサムウェアを含む標的型ランサムウェア作戦に移行したと主張されいます。ランサムウェア攻撃へと移行しているとされる中、Mandiantは、2019年に発表したMahalo FIN7以来、公にはしてこなかったFIN7の進化に関する調査を公開します。
このブログでは、Mandiantが直接対応した過去から最近まで侵害事件を有機的に調査し、複数のUNCグループをFIN7に統合するプロセスについて説明しています。このプロセスにより、2022年1月に、これまで疑われていた8つのUNCグループをFIN7に統合することができました。また、新しいマルウェアの使用、新しい初期アクセスベクターの組み込み、マネタイズ戦略の変化など、この間のFIN7の活動における顕著な変化も取り上げています。
- FIN7は、過去2年間に渡って継続的に開発してきたPOWERPLANTと呼ばれる新しいバックドアを含め、侵入の至る所でPowerShellを活用し続けています。また、BIRDWATCHダウンローダーの新バージョンも開発されており、CROWVIEWやFOWLGAZEとして追跡されていることも確認されました。
- FIN7の初期アクセス手法は、従来のフィッシング手法に加え、ソフトウェアのサプライチェーン侵害や窃取した認証情報の使用など、多様化しています。また、FIN7はLOADOUTやGRIFFONの代わりに、POWERPLANTを第一段階のマルウェアとして使用していることが確認されています。
- 複数の組織でFIN7が関与した活動に続いてデータ盗難による脅迫やランサムウェアが展開されているのに加え、技術的な重複も見られることから、FIN7の行為者が長期にわたってさまざまなランサムウェアの操作に関与していることが示唆されています。
- またMandiantは、DICELOADERにつながる「BadUSB」攻撃や、BIRDWATCHにつながるクラウドマーケティングプラットフォームを活用した複数のフィッシング攻撃など、FIN7と思われる別のUNCグループの攻撃活動を追跡調査しています。
Mandiantでは、2017年に初めてFIN7に関する脅威レポートを公開し、調査結果を公表しました。それ以来、FIN7の活動に関する複数のブログを公開しており、さらに詳細なレポートをMandiant Advantageで公開しています。このブログでは、直近のFIN7侵入活動の検証に焦点を当てるとともに、使用したアトリビューション手法についてもご紹介します。
***途中割愛***
まとめ
2018年にFIN7のメンバーが起訴され、2021年に米国司法省が発表した関連する裁判の判決にもかかわらず、FIN7の少なくとも一部のメンバーは活動を続け、時間をかけて犯罪行為を進化させ続けています。FIN7は、その進化を通じて、活動のスピード、標的の範囲、さらにはアンダーグラウンドでの他のランサムウェア攻撃との関係性を高めてきた可能性があります。
※TTPの詳細など、本レポートの英語オリジナルは こちら を参照ください。
Indicators of Compromise (IOCs)
Indicator | Notes |
| BOATLAUNCH 32bit |
| BOATLAUNCH 64bit |
| POWERPLANT |
| POWERPLANT |
| POWERPLANT |
| POWERPLANT |
| POWERPLANT |
| POWERPLANT |
| POWERPLANT |
| POWERPLANT |
| POWERPLANT |
| POWERPLANT |
| POWERPLANT |
| POWERPLANT C2 |
| POWERPLANT C2 |
| POWERPLANT C2 |
| POWERPLANT C2 |
| POWERPLANT C2 |
| POWERPLANT C2 |
| POWERPLANT C2 |
| POWERPLANT C2 |
| POWERTRASH Cryptor & CARBANAK Payload |
| CROWVIEW (BIRDWATCH/JssLoader Variant) |
| CROWVIEW/LOADOUT C2 |
| LOADOUT |
| LOADOUT |
| LOADOUT |
| LOADOUT |
| LOADOUT C2 |
| LOADOUT C2 |
| LOADOUT C2 |
| LOADOUT C2 |
| BEAKDROP |
| BEACON |
| BEACON C2 |
| BEACON C2 |
| Trojanized installer containing Atera Agent |
| WINGNIGHT |
| WINGNIGHT |
| FLYHIGH |
Mandiant Security Validation Actions
Organizations can validate their security controls against more than 25 actions with Mandiant Security Validation.
VID | Name |
A150-527 | Command and Control - FIN7, BATELEUR, Check-in |
A150-528 | Command and Control - FIN7, GRIFFON, Check-in |
A151-165 | Command and Control - FIN7, GRIFFON, DNS Query #1 |
A151-166 | Command and Control - FIN7, GRIFFON, DNS Query #2 |
A104-585 | Host CLI - FIN7, Local Javascript Execution via WMI and Mshta |
A150-546 | Malicious File Transfer - FIN7, CARBANAK, Download, Variant #1 |
A150-548 | Malicious File Transfer - FIN7, CARBANAK, Download, Variant #3 |
A150-710 | Malicious File Transfer - FIN7, DICELOADER, Download, Variant #1 |
A150-549 | Malicious File Transfer - FIN7, DRIFTPIN, Download, Variant #1 |
A150-550 | Malicious File Transfer - FIN7, DRIFTPIN, Download, Variant #2 |
A151-168 | Malicious File Transfer - FIN7, GRIFFON, Download, JavaScript Variant |
A150-553 | Malicious File Transfer - FIN7, GRIFFON, Download, Variant #1 |
A150-554 | Malicious File Transfer - FIN7, GRIFFON, Download, Variant #2 |
A150-555 | Malicious File Transfer - FIN7, GRIFFON, Download, Variant #3 |
A150-572 | Malicious File Transfer - FIN7, SUPERSOFT, Download, Variant #1 |
A150-729 | Malicious File Transfer - FIN7, TAKEOUT, Download, Variant #1 |
A150-730 | Malicious File Transfer - FIN7, TAKEOUT, Download, Variant #2 |
A150-731 | Malicious File Transfer - FIN7, TAKEOUT, Download, Variant #3 |
A150-585 | Phishing Email - Malicious Attachment, FIN7, BATELEUR DOC Lure |
A150-586 | Phishing Email - Malicious Attachment, FIN7, GRIFFON DOCM Lure |
A151-167 | Phishing Email - Malicious Attachment, FIN7, GRIFFON, Windows 11 Themed Lure |
A150-587 | Phishing Email - Malicious Attachment, FIN7, Tracking Pixel |
A150-590 | Protected Theater - FIN7, BATELEUR, Execution |
A151-044 | Protected Theater - FIN7, CARBANAK, Execution |
A150-366 | Protected Theater - FIN7, CULTSWAP, Execution |
A150-591 | Protected Theater - FIN7, GRIFFON, Execution |
A151-170 | Protected Theater - FIN7, GRIFFON, Execution, JavaScript Variant |
A151-169 | Protected Theater - FIN7, GRIFFON, Execution, Word Document Variant |
MITRE ATT&CK Mapping
Throughout 2020 and 2021, Mandiant has observed FIN7 use the following techniques:
Execution
- T1059: Command and Scripting Interpreter
- T1059.001: PowerShell
- T1059.003: Windows Command Shell
- T1059.005: Visual Basic
- T1059.007: JavaScript
- T1204.001: Malicious Link
- T1204.002: Malicious File
- T1569.002: Service Execution
Initial Access
- T1195.002: Compromise Software Supply Chain
- T1199: Trusted Relationship
- T1566.001: Spearphishing Attachment
- T1566.002: Spearphishing Link
Impact
- T1491.002: External Defacement
Resource Development
- T1583.003: Virtual Private Server
- T1588.003: Code Signing Certificates
- T1588.004: Digital Certificates
- T1608.003: Install Digital Certificate
- T1608.005: Link Target
Defense Evasion
- T1027: Obfuscated Files or Information
- T1027.005: Indicator Removal from Tools
- T1036: Masquerading
- T1036.003: Rename System Utilities
- T1055: Process Injection
- T1070.004: File Deletion
- T1140: Deobfuscate/Decode Files or Information
- T1218.010: Regsvr32
- T1218.011: Rundll32
- T1497.001: System Checks
- T1553.002: Code Signing
- T1564.003: Hidden Window
- T1620: Reflective Code Loading
Collection
- T1113: Screen Capture
- T1213: Data from Information Repositories
- T1560: Archive Collected Data
Lateral Movement
- T1021.001: Remote Desktop Protocol
- T1021.004: SSH
Command and Control
- T1071.001: Web Protocols
- T1090: Proxy
- T1095: Non-Application Layer Protocol
- T1105: Ingress Tool Transfer
- T1132.001: Standard Encoding
- T1573.002: Asymmetric Cryptography
Discovery
- T1012: Query Registry
- T1033: System Owner/User Discovery
- T1057: Process Discovery
- T1069: Permission Groups Discovery
- T1069.002: Domain Groups
- T1082: System Information Discovery
- T1083: File and Directory Discovery
- T1087: Account Discovery
- T1087.002: Domain Account
- T1482: Domain Trust Discovery
- T1518: Software Discovery
Credential Access
- T1110.002: Password Cracking
- T1555.003: Credentials from Web Browsers
- T1558.003: Kerberoasting