FIN7 Power Hour: 敵の考古学とFIN7の進化

3 mins read

最近公開されている研究では、FIN7と重複する脅威グループが、REVILDARKSIDEBLACKMATTERALPHVランサムウェアを含む標的型ランサムウェア作戦に移行したと主張されいます。ランサムウェア攻撃へと移行しているとされる中、Mandiantは、2019年に発表したMahalo FIN7以来、公にはしてこなかったFIN7の進化に関する調査を公開します。

このブログでは、Mandiantが直接対応した過去から最近まで侵害事件を有機的に調査し、複数のUNCグループをFIN7に統合するプロセスについて説明しています。このプロセスにより、20221月に、これまで疑われていた8つのUNCグループをFIN7に統合することができました。また、新しいマルウェアの使用、新しい初期アクセスベクターの組み込み、マネタイズ戦略の変化など、この間のFIN7の活動における顕著な変化も取り上げています。

  • FIN7は、過去2年間に渡って継続的に開発してきたPOWERPLANTと呼ばれる新しいバックドアを含め、侵入の至る所でPowerShellを活用し続けています。また、BIRDWATCHダウンローダーの新バージョンも開発されており、CROWVIEWFOWLGAZEとして追跡されていることも確認されました。
  • FIN7の初期アクセス手法は、従来のフィッシング手法に加え、ソフトウェアのサプライチェーン侵害や窃取した認証情報の使用など、多様化しています。また、FIN7LOADOUTGRIFFONの代わりに、POWERPLANTを第一段階のマルウェアとして使用していることが確認されています。
  • 複数の組織でFIN7が関与した活動に続いてデータ盗難による脅迫やランサムウェアが展開されているのに加え、技術的な重複も見られることから、FIN7の行為者が長期にわたってさまざまなランサムウェアの操作に関与していることが示唆されています。
  • またMandiantは、DICELOADERにつながる「BadUSB」攻撃や、BIRDWATCHにつながるクラウドマーケティングプラットフォームを活用した複数のフィッシング攻撃など、FIN7と思われる別のUNCグループの攻撃活動を追跡調査しています。

Mandiantでは、2017年に初めてFIN7に関する脅威レポートを公開し、調査結果を公表しました。それ以来、FIN7の活動に関する複数のブログを公開しており、さらに詳細なレポートMandiant Advantageで公開しています。このブログでは、直近のFIN7侵入活動の検証に焦点を当てるとともに、使用したアトリビューション手法についてもご紹介します。

***途中割愛***

まとめ

2018FIN7のメンバーが起訴され、2021に米国司法省が発表した関連する裁判の判決にもかかわらず、FIN7の少なくとも一部のメンバーは活動を続け、時間をかけて犯罪行為を進化させ続けています。FIN7は、その進化を通じて、活動のスピード、標的の範囲、さらにはアンダーグラウンドでの他のランサムウェア攻撃との関係性を高めてきた可能性があります。

TTPの詳細など、本レポートの英語オリジナルは こちら を参照ください。

 

Indicators of Compromise (IOCs)

Indicator

Notes

0c6b41d25214f04abf9770a7bdfcee5d

BOATLAUNCH 32bit

21f153810b82852074f0f0f19c0b3208

BOATLAUNCH 64bit

02699f95f8568f52a00c6d0551be2de5

POWERPLANT

0291df4f7303775225c4044c8f054360

POWERPLANT

0fde02d159c4cd5bf721410ea9e72ee2

POWERPLANT

2cbb015d4c579e464d157faa16994f86

POWERPLANT

3803c82c1b2e28e3e6cca3ca73e6cce7

POWERPLANT

5a6bbcc1e44d3a612222df5238f5e7a8

POWERPLANT

833ae560a2347d5daf05d1f670a40c54

POWERPLANT

b637d33dbb951e7ad7fa198cbc9f78bc

POWERPLANT

bce9b919fa97e2429d14f255acfb18b4

POWERPLANT

d1d8902b499b5938404f8cece2918d3d

POWERPLANT

edb1f62230123abf88231fc1a7190b60

POWERPLANT

findoutcredit[.]com

POWERPLANT C2

againcome[.]com

POWERPLANT C2

modestoobgyn[.]com

POWERPLANT C2

myshortbio[.]com

POWERPLANT C2

estetictrance[.]com

POWERPLANT C2

internethabit[.]com

POWERPLANT C2

bestsecure2020[.]com

POWERPLANT C2

chyprediction[.]com

POWERPLANT C2

d405909fd2fd021372444b7b36a3b806

POWERTRASH Cryptor & CARBANAK Payload

122cb55f1352b9a1aeafc83a85bfb165

CROWVIEW (BIRDWATCH/JssLoader Variant)

domenuscdm[.]com

CROWVIEW/LOADOUT C2

936b142d1045802c810e86553b332d2d

LOADOUT

23e1725769e99341bc9af48a0df64151

LOADOUT

4d56a1ca28d9427c440ec41b4969caa2

LOADOUT

50260f97ac2365cf0071e7c798b9edda

LOADOUT

spontaneousance[.]com

LOADOUT C2

fashionableeder[.]com

LOADOUT C2

incongruousance[.]com

LOADOUT C2

electroncador[.]com

LOADOUT C2

6fba605c2a02fc62e6ff1fb8e932a935

BEAKDROP

49ac220edf6d48680f763465c4c2771e

BEACON

astara20[.]com

BEACON C2

coincidencious[.]com

BEACON C2

52f5fcaf4260cb70e8d8c6076dcd0157

Trojanized installer containing Atera Agent

78c828b515e676cc0d021e229318aeb6

WINGNIGHT

70bf088f2815a61ad2b1cc9d6e119a7f

WINGNIGHT

4961aec62fac8beeafffa5bfc841fab8

FLYHIGH

Mandiant Security Validation Actions

Organizations can validate their security controls against more than 25 actions with Mandiant Security Validation.

VID

Name

A150-527

Command and Control - FIN7, BATELEUR, Check-in

A150-528

Command and Control - FIN7, GRIFFON, Check-in

A151-165

Command and Control - FIN7, GRIFFON, DNS Query #1

A151-166

Command and Control - FIN7, GRIFFON, DNS Query #2

A104-585

Host CLI - FIN7, Local Javascript Execution via WMI and Mshta

A150-546

Malicious File Transfer - FIN7, CARBANAK, Download, Variant #1

A150-548

Malicious File Transfer - FIN7, CARBANAK, Download, Variant #3

A150-710

Malicious File Transfer - FIN7, DICELOADER, Download, Variant #1

A150-549

Malicious File Transfer - FIN7, DRIFTPIN, Download, Variant #1

A150-550

Malicious File Transfer - FIN7, DRIFTPIN, Download, Variant #2

A151-168

Malicious File Transfer - FIN7, GRIFFON, Download, JavaScript Variant

A150-553

Malicious File Transfer - FIN7, GRIFFON, Download, Variant #1

A150-554

Malicious File Transfer - FIN7, GRIFFON, Download, Variant #2

A150-555

Malicious File Transfer - FIN7, GRIFFON, Download, Variant #3

A150-572

Malicious File Transfer - FIN7, SUPERSOFT, Download, Variant #1

A150-729

Malicious File Transfer - FIN7, TAKEOUT, Download, Variant #1

A150-730

Malicious File Transfer - FIN7, TAKEOUT, Download, Variant #2

A150-731

Malicious File Transfer - FIN7, TAKEOUT, Download, Variant #3

A150-585

Phishing Email - Malicious Attachment, FIN7, BATELEUR DOC Lure

A150-586

Phishing Email - Malicious Attachment, FIN7, GRIFFON DOCM Lure

A151-167

Phishing Email - Malicious Attachment, FIN7, GRIFFON, Windows 11 Themed Lure

A150-587

Phishing Email - Malicious Attachment, FIN7, Tracking Pixel

A150-590

Protected Theater - FIN7, BATELEUR, Execution

A151-044

Protected Theater - FIN7, CARBANAK, Execution

A150-366

Protected Theater - FIN7, CULTSWAP, Execution

A150-591

Protected Theater - FIN7, GRIFFON, Execution

A151-170

Protected Theater - FIN7, GRIFFON, Execution, JavaScript Variant

A151-169

Protected Theater - FIN7, GRIFFON, Execution, Word Document Variant

MITRE ATT&CK Mapping

Throughout 2020 and 2021, Mandiant has observed FIN7 use the following techniques:

Execution

  • T1059: Command and Scripting Interpreter
  • T1059.001: PowerShell
  • T1059.003: Windows Command Shell
  • T1059.005: Visual Basic
  • T1059.007: JavaScript
  • T1204.001: Malicious Link
  • T1204.002: Malicious File
  • T1569.002: Service Execution

 Initial Access

  • T1195.002: Compromise Software Supply Chain
  • T1199: Trusted Relationship
  • T1566.001: Spearphishing Attachment
  • T1566.002: Spearphishing Link

Impact

  • T1491.002: External Defacement 

Resource Development

  • T1583.003: Virtual Private Server
  • T1588.003: Code Signing Certificates
  • T1588.004: Digital Certificates
  • T1608.003: Install Digital Certificate
  • T1608.005: Link Target

Defense Evasion

  • T1027: Obfuscated Files or Information
  • T1027.005: Indicator Removal from Tools
  • T1036: Masquerading
  • T1036.003: Rename System Utilities
  • T1055: Process Injection
  • T1070.004: File Deletion
  • T1140: Deobfuscate/Decode Files or Information
  • T1218.010: Regsvr32
  • T1218.011: Rundll32
  • T1497.001: System Checks
  • T1553.002: Code Signing
  • T1564.003: Hidden Window
  • T1620: Reflective Code Loading

Collection

  • T1113: Screen Capture
  • T1213: Data from Information Repositories
  • T1560: Archive Collected Data

Lateral Movement

  • T1021.001: Remote Desktop Protocol
  • T1021.004: SSH

Command and Control

  • T1071.001: Web Protocols
  • T1090: Proxy
  • T1095: Non-Application Layer Protocol
  • T1105: Ingress Tool Transfer
  • T1132.001: Standard Encoding
  • T1573.002: Asymmetric Cryptography

Discovery

  • T1012: Query Registry
  • T1033: System Owner/User Discovery
  • T1057: Process Discovery
  • T1069: Permission Groups Discovery
  • T1069.002: Domain Groups
  • T1082: System Information Discovery
  • T1083: File and Directory Discovery
  • T1087: Account Discovery
  • T1087.002: Domain Account
  • T1482: Domain Trust Discovery
  • T1518: Software Discovery

Credential Access

  • T1110.002: Password Cracking
  • T1555.003: Credentials from Web Browsers
  • T1558.003: Kerberoasting