FIN7的演变过程考察

admin 2022年4月23日02:59:58安全闲碎评论13 views14835字阅读49分27秒阅读模式
FIN7的演变过程考察
END
聚焦两会·关注民生

关键字:威胁研究、金融威胁组织、威胁情报、FIN7

最近的公开研究表明,与FIN7有重叠的威胁团体已经发生了转变,新的威胁团体涉及与REVIL、DARKSIDE、BLACKMATTER和ALPHV勒索软件相关的定向勒索行动。随着上述观点的提出,Mandiant将发布与FIN7演变相关的研究,这些研究自从2019年Mahalo FIN7发布后还从未公开过。

通过对所掌握历史入侵事件和近期入侵事件的关联分析,Mandiant于2022年1月将8个以前未分类的攻击团伙合并到了FIN7。本文还强调了FIN7活动在这段时间内的显著变化,包括使用新型恶意软件、编入新的初始入侵向量,以及在盈利策略方面可能发生的转变。

  • FIN7继续在入侵中使用名为POWERPLANT的PowerShell后门,他们持续开发该后门已有两年时间。作者还发现他们使用了正在开发中的、被标识为CROWVIEW和FOWLGAZE的新版BIRDWATCH下载器。
  • FIN7的初始入侵技术趋于多样化,除了传统的网络钓鱼技术外,还包括软件供应链攻击和凭证窃取。此外,在较新的入侵事件中,FIN7使用POWERPLANT作为其在第一阶段所使用的恶意软件,而不是LOADOUT和(或)GRIFFON。
  • 多个组织在遭遇由FIN7负责的(攻击)活动后数据遭到盗窃勒索,或是被安装了勒索软件。上述现象结合对技术重叠程度的分析可以证明,随着时间的推移,FIN7人员已经与各种勒索软件的行动产生了联系。
  • Mandiant还跟踪了多个疑似与FIN7有关的活动,包括与DICELOADER木马相关的“BadUSB”活动,以及利用云营销平台传播BIRDWATCH木马的多个网络钓鱼活动。

自2017年首次披露关于FIN7的威胁报告和公开研究以来,作者发布了多篇与FIN7行动相关的博文,并且在Mandiant Advantage上提供了更详细的内容。这篇博文将重点讨论最新的FIN7入侵行动,以及所用到的溯源方法。

考虑时间因素的威胁归因


作者所使用的溯源方法需要在多个层次上对收集到的威胁数据中进行重叠验证,从而将疑似FIN7的未分类团体合并到核心FIN7集群中。合并的依据来源于对攻击者基础设施、入侵技术、作案手法,以及特定恶意代码的分析。考虑到网络犯罪行动的流动性和投机性,以及行动成员对于犯罪组织盲目的忠诚,严格的技术证据记录在对现代网络犯罪的溯源中显得尤为重要。作者还经常观察到多个威胁团体会在相近的时间内共同发起入侵行动,这些威胁团体有时甚至会在几小时或几分钟内使用完全一致的入侵方式,这在勒索软件的生态系统中尤其明显。另外,Mandiant已经观察到个人行动转变为团队行动、团队行动转变为联盟行动的情况。同时,入侵中所使用的TTPs也取决于合作的对象和攻击的目标。
迄今为止,作者怀疑还有17个未分类团体与FIN7有不同程度的附属关系,然而这些团体并没有正式地并入FIN7。他们的活动时间最早可以追溯到2015年,最近可以追溯到2021年底,共涉及36次入侵事件。有8个自2020年以来一直活跃的团体曾被怀疑与FIN7有关,并在最近正式并入了FIN7,证实了威胁团体相关的人员具有一定的可调整性。
(1) 2020年活动概述:以LOADOUT为主
FIN7在2020年的春季和夏季非常活跃,他们发起网络钓鱼活动,并尝试分发LOADOUT和GRIFFON。通过分析所跟踪的攻击活动发现,在此期间有五个最终在2021年末的相关分析里被合并到FIN7的新派别中的未分类团体被创建,这一过程使得作者得以更加深入的了解FIN7:在2020年将未分类团体合并后,FIN7使用过的恶意软件家族新增了LOADOUT、TAKEOUT和BIRDWATCH变体。

FIN7的演变过程考察

图1:FIN7从2020到2021年的活动

LOADOUT是一个经过混淆的VBScript下载器,它能够从被感染的系统中获取大量信息,并将信息发送到命令与控制(C2)服务器。C2服务器响应LOADOUT的请求,然后向被感染的系统投送GRIFFON,这是一个基于JavaScript的下载器,能够使用HTTP或DNS获取JavaScript模块并在内存中执行。

2020年夏末,FIN7首次使用了名为POWERPLANT的新后门,这也是他们在2020年的最后一次活动。POWERPLANT,也被称为“KillACK”,是一个功能丰富的PowerShell后门,最初出现在2020年8月,由GRIFFON成功感染系统后投送。使用POWERPLANT的组织在2021年完成合并后,作者认为FIN7可能是唯一一个使用POWERPLANT的组织。
(2) 2021年活动概述:转向POWERPLANT
从2021年4月开始的五次入侵中,疑似FIN7的未分类团体活动有所上升。这种上升趋势导致作者开展了对FIN7的深入研究工作。作者还观察到FIN7改变了他们的初始入侵技术,不再使用LOADOUT、GRIFFON或CARBANAK,而是直接部署POWERPLANT和BEACON
具体来说,FIN7在2021年所有已知的入侵行动中都使用了POWERPLANT。FIN7还依靠BEACON作为备用的初始入侵方式,在某些情况下与POWERPLANT搭配使用。在整个2021年里,作者仔细考察了许多与FIN7相关的未分类团体,增加了所掌握的FIN7情报的广度,并且合并了多个威胁群组。研究显示,在FIN7中旧的入侵技术和新的恶意软件已经完成了融合。
PowerShell:FIN7根深蒂固的习惯


毫无疑问,FIN7十分钟爱PowerShell。FIN7在其攻击行动中使用了许多编程语言来编写他们的恶意软件,然而在涉及到与系统的互动时,精心构建的PowerShell加载器和独特的PowerShell命令是FIN7的首选工具。

作者对之前的FIN7入侵事件进行了深入研究,并发现了几个独特PowerShell调用方法,这些调用方法最早可以追溯到2019,并且至今仍在使用。图2和图3所示的命令行,除了FIN7和疑似FIN7的未分类团体以外,在全球范围都很少出现。

FIN7的演变过程考察

图2:2019年以来FIN7的PowerShell执行模式

FIN7的演变过程考察

图3:2021年以来FIN7的PowerShell执行模式

图2和图3命令行被用于启动管理员共享文件夹中的脚本和安装Windows服务,其独特之处在于所使用的参数-noni -nop -exe bypass -f。自2019年以来,FIN7在通过CARBANAK等恶意软件与受害者系统进行互动时使用了此类命令行参数。此后,作者在分析POWERPLANT的感染过程时,发现一些独特的PowerShell命令发生了改变。

2019年以来,在不同入侵事件中共同出现过的执行模式揭露了多种以-ex bypass -f或-ex bypass -file为参数的PowerShell命令行。虽然这些执行模式看上去比较简短,但在FIN7相关的威胁活动之外,这些组合在全球的出现率极低。例如,第一种命令行出现了2800多次,均与FIN7引发的事件有关。第二种命令行早在2019年就在10个不同的受害者中出现过近250次,最终也都指向了FIN7。

FIN7的演变过程考察

图4:2019年以来FIN7的PowerShell执行模式

FIN7的演变过程考察

图5:2020年以来FIN7的PowerShell执行模式

FIN7的演变过程考察

图6:2021年以来FIN7的PowerShell执行模式

除了FIN7在入侵行动中独特的命令行外,作者还发现了其他PowerShell代码家族的长期使用,如POWERTRASH。POWERTRASH是一个用PowerShell编写的内存投放器,或称加载器,可以执行内嵌的有效载荷。目前发现由FIN7的POWERTRASH加载的有效载荷包括CARBANAK、DICELOADER、SUPERSOFT、BEACON和PILLOWMINT。POWERTRASH是PowerSploit框架中shellcode调用模块的一个经过专门混淆的版本,该框架可以从GitHub中获取。

随着对FIN7入侵行动理解的加深,作者整合了他们的分析工作,并开始将多个可疑的未分类团体合并到FIN7中。作为这一举措的一部分,作者在其为客户提供的2021年防御托管及快速响应雇佣服务中,增加了与FIN7识别相关的新任务。

防御托管


FIN7选择的目标组织广泛分布在许多的行业,包括软件业、咨询业、金融服务、医疗设备、云服务、媒体、食品与饮料、运输业,以及公用事业。自2020年以来,作者在他们的客户群体中发现了十多起与FIN7相关的入侵事件。下面的使用案例介绍了在2021年Mandiant托管防御雇佣中的FIN7所使用的技术。

(1)FIN7入侵实例

为了在这次入侵行动中获得初始访问权,FIN7使用了遭到泄露的远程桌面协议(RDP)凭据,在两个不同的时间登录到目标服务器,并启动了两个类似的Windows进程链(图7)。

FIN7的演变过程考察

图7:两条FIN7进程事件链

FIN7利用已经建立的RDP访问权限来进一步地控制主机,首先执行了PowerShell侦察脚本,然后执行了TERMITE加载器(图8)。

FIN7的演变过程考察

图8:LOADOUT作为信标发送的系统调查信息

TERMITE是一个受密码保护的shellcode加载器,至少有七个不同的威胁集团使用它来加载BEACON、METASPLOIT和BUGHATCH的shellcode。在这里,FIN7使用TERMITE来加载和执行Cobalt Strike BEACON的shellcode Stager。

在通过BEACON进行第二阶段的入侵后,FIN7开始使用内置的Windows命令以及POWERSPLOIT和Kerberoasting的PowerShell模块进行进一步的枚举。

cmd.exe /C net group "Domain Admins" /domain
cmd.exe /C quser
powershell.exe -c import-module C:UsersPublickerberoast_hex.ps1; Invoke-Kerberoast -OutputFormat HashCat > hash.txt
powershell.exe -ex bypass -c import-module C:UsersPublickerberoast_hex.ps1; Invoke-Kerberoast -OutputFormat HashCat
powershell.exe -ex bypass -f pkit.ps

在使用RDP和BEACON进行初步侦察后,FIN7使用经过混淆的加载器将定制的PowerShell后门POWERPLANT载入受害者系统中,并展开第三阶段的入侵:

powershell.exe -ex bypass -f cube.ps1

随后,FIN7尝试窃取凭据并进一步攻击受害者的环境,但成功率有限,因为客户能够利用托管型防御与响应(服务)来进行应急响应与快速补救。

本次入侵事件的一个侧面凸显了网络犯罪技术溯源中的挑战:在FIN7入侵受害者系统的两天之间,FIN12也在同一个受害者系统中活动了数小时,并且使用了同一个RDP账户。但FIN12所使用的基础措施和技术与FIN7大不相同,他们试图使用WEIRDLOOP内存投放器来安装BEACON,直到受害者开展补救工作。

FIN7的规避技术


在混淆方面的创造力和快速更新的规避技术是FIN7维持至今的重要特征,他们在入侵的第一阶段所使用的投放器和下载器都经过了严重的混淆。特别是LOADOUT,其在投机主义活动中广泛传播,并且经历了数次旨在提高规避能力的迭代。

最初的混淆机制非常基础,但能够有效地规避静态检测,其做法是将恶意代码与随机的垃圾代码穿插在一起(图10)。LOADOUT在数月的行动中大获成功,AV检测引擎随即改善了对该下载器的覆盖率。为了在发送消息时绕过检测,LOADOUT开发者通过简单地在字符串中插入“FUCKAV”,将信标中疑似会被检测的特征拆分开。

FIN7的演变过程考察

图9:LOADOUT作为信标发送的系统调查信息

FIN7的演变过程考察

图10:混淆LOADOUT

事实上,开发者正确地定位到了被用于检测的字符串。通过对信标的分析,作者发现有一个新开发中的LOADOUT变体(MD5:485b2a920f3b5ae7cfad93a4120ec20d)在提交到VirusTotal后,只有一个反病毒引擎能够将其检测出来(图11)。两个小时后,又有一个新版本(MD5: 012e7b4d6b5cb8d46771852c66c71d6d)被提交,这次他们通过自定义的混淆机制处理了违规的PowerShell命令(图12)。

FIN7的演变过程考察

图11:混淆前的PowerShell命令

FIN7的演变过程考察

图12:PowerShell命令混淆

FIN7相关人员历来都会在公共资源库上测试他们的工具,以检查静态检测引擎的覆盖率。在这种情况下,他们很可能是在测试其自定义混淆方法的强度。

5个月后,这个新的改进版的LOADOUT出现了。它经过重构,增加了多层混淆,包括穿插圣经诗句作为填充文本,以及通过自定义机制进行的字符串混淆(图13)。

FIN7的演变过程考察

图13:LOADOUT自定义的字符串混淆

POWERPLANT:FIN7的PowerShell主力


FIN7利用多种方法进入受害者网络,包括网络钓鱼、攻击第三方系统、Atera代理安装包、GoToAssist和RDP。在最近的一个案例中,FIN7入侵了一个销售数字产品的网站,并修改了多个下载链接,使之指向用于托管木马的Amazon S3存储桶,其中包含一个Atera代理安装包。这个远程管理工具之后将被用来把POWERPLANT部署到受害者的系统中。这是Mandiant第一次观察到FIN7利用供应链攻击的情况。FIN7久经考验的CARBANAK和DICELOADER(也被称为Lizar)恶意软件仍在使用,然而FIN7在最近的入侵中更倾向于使用POWERPLANT后门。

对POWERPLANT的研究表明,它是一个强大且庞大的后门框架,并且其实际拥有的能力取决于C2服务器所提供的模块。POWERPLANT后门的代码中包含内部版本标识符。表1展示了从“0.012”版本到“0.028”版本之间已经被发现的样本。

表1:POWERPLANT样本

POWERPLANT样本MD5

版本

5a6bbcc1e44d3a612222df5238f5e7a8

0.012

0291df4f7303775225c4044c8f054360

0.016

3803c82c1b2e28e3e6cca3ca73e6cce7

0.019

d1d8902b499b5938404f8cece2918d3d

0.021(TLS1)

833ae560a2347d5daf05d1f670a40c54

0.021b(SVC)

edb1f62230123abf88231fc1a7190b60

0.021c(SVC)

bce9b919fa97e2429d14f255acfb18b4

0.022

b637d33dbb951e7ad7fa198cbc9f78bc

0.025

2cbb015d4c579e464d157faa16994f86

0.028

这些内部版本号的增长的速度表明,FIN7正在积极开发POWERPLANT(图14)。在一次行动中,FIN7在目标系统上部署了功能经过微调的新版POWERPLANT。行动中的FIN7在十分钟内使用了两个版本的POWERPLANT,分别为“0.023”和“0.025”。每个版本的功能都大体类似,较新版本通常有方案上的改进和功能的新增。

FIN7的演变过程考察

图14:POWERPLANT版本号

Mandiant还从POWERPLANT控制器中恢复了服务器端部分的代码组件。部分组件中的线索暗示了恶意软件开发者所具有的防范意识。两个例子可以表明FIN7已经意识到研究人员在调查他们的基础设施,并根据用户名等特征封禁了一部分的主机。

FIN7的演变过程考察

图15:POWERPLANT服务器设置中的功能片断

FIN7的演变过程考察

图16:POWERPLANT服务器设置中的功能片断

FIN7的演变过程考察

图17:POWERPLANT服务器配置中的功能片断

在C2会话的活动期间,POWERPLANT服务器将发送多个额外的模块类型作为“任务”供目标系统执行。以下将介绍其中的两个模块,分别为EASYLOOK和BOATLAUNCH。
(1) EASYLOOK模块
EASYLOOK是FIN7至少从2019年就开始使用的侦查工具。EASYLOOK从受感染的系统中捕获了大量的数据,包括操作系统版本、注册密钥、系统名称、用户名、域名信息和硬件规格。
EASYLOOK的初始版本是由GRIFFON C2服务器提供的,使用JScript编写(图19)。FIN7的新版EASYLOOK是由POWERPLANT变体C2服务器提供的,使用PowerShell编写(图18)。这两个版本在两种代码语言中实现了完全相同的功能,就连“bios_versoin”这一输入错误也完全一致。

FIN7的演变过程考察

图18:使用PowerShell编写的FIN7 EASYLOOK变体中的VM检查

FIN7的演变过程考察

图19:使用JavaScript编写的FIN7 EASYLOOK第一个变体中的VM检查

(2) BOATLAUNCH模块
BOATLAUNCH是FIN7 POWERPLANT控制器发送的一个工具,在入侵行动中作为辅助模块使用。BOATLAUNCH用于修复被感染系统上的PowerShell进程,以绕过Windows的反恶意软件扫描接口(AMSI)。恶意软件循环执行,不断地寻找未打补丁的PowerShell进程,一但定位到就为其打上amsi.dll!AmsiScanBuffer补丁,使其5个字节的指令序列总是返回S_OK。
为AMSI打补丁是常见AMSI绕过技术的一个变种。已经观察到BOATLAUNCH的32位和64位变体都使用了以下的导出表所含的DLL名称(表2)。

表2:BOATLAUNCH PE导出表所含的DLL名称

BOATLAUNCH位数

DLL名称

32-bit

amsi32_kill.dll

64-bit

amsi64_kill.dll


BIRDWATCH的奇特案例


作者在深入调查后还发现存在使用BIRDWATCH的情况,以及FIN7和疑似FIN7的团体(如UNC3381)所使用的BIRDWATCH变种。BIRDWATCH是一个基于.NET的下载器,它通过HTTP获取有效载荷,将它们写入磁盘并执行。BIRDWATCH还会上传从目标系统中取得的侦察信息,其中包括运行的进程、安装的软件、网络配置、浏览器信息和活动目录数据。

BIRDWATCH通常被统称为“JssLoader”。然而,BIRDWATCH存在多种变体,作者将其作为独立的代码家族进行跟踪。BIRDWATCH的一个变体是CROWVIEW,尽管同样基于.NET,但它与原型BIRDWATCH在代码上差异明显,因此被单独归为一类。与BIRDWATCH不同的是,CROWVIEW可以容纳一个内嵌的有效载荷,可以自我删除,支持额外的参数,并且所存储的配置也稍有差异。

FIN7会使用不同的编程语言中实现了类似或完全相同的功能,这一现象在过去几年观察到的各种代码家族中反复出现。与EASYLOOK类似,BIRDWATCH和CROWVIEW存在JScript和PowerShell的变体,除此以外还有使用C++实现的独立版本。这些代码重用与重叠的数据,与在基础设施和技术方面的分析相结合,有助于在合并多个未分类团体时进行技术溯源。

在第一个例子中,BIOS(基本输入输出系统)序列号收集功能在POWERPLANT和CROWVIEW代码家族中均有出现。

FIN7的演变过程考察

图20:FIN7相关的C#版CROWVIEW代码片段,这是BIRDWATCH的一个变体

FIN7的演变过程考察

图21:FIN7相关的PowerShell版POWERPLANT代码片段

FIN7的演变过程考察

图22:FOWLGAZE("JssLoader")的JSON数据收集格式片段

FIN7的演变过程考察

图23:EASYLOOK(侦察模块)的数据收集代码片段

最后一个代码重用的例子是“theAnswer”的使用,它是一个变量,在CROWVIEW和POWERPLANT对C2服务器发送POST请求的功能中出现,如图24和图25所示。

FIN7的演变过程考察

图24:FIN7相关的C#版CROWVIEW和BIRDWATCH(JssLoader)代码片段

FIN7的演变过程考察

图25:FIN7相关的PowerShell版POWERPLANT代码片段

        恶意软件中的代码有时会被认为是公共威胁溯源中的主要数据。但如果只有代码的重叠,而没有充分的额外数据作为佐证(如入侵数据和基础设施),则难以全面地评估一个未分类团体是否应该被合并。在整个2021年和2022年初,作者已经发现并将持续跟踪多个疑似FIN7的新兴未分类团体及其活动的发展。
疑似FIN7团体近期的其他活动


2021年10月,Mandiant观察到一个主要针对美国组织的活动,攻击者向受害者组织邮寄名为“BadUSB”的恶意USB设备。这一活动的归属被划分到未分类团体UNC3319里,作者怀疑该团体与FIN7有关联,但置信度不高。

经过编程的USB硬件首先会下载STONEBOAT,并最终在受害者系统上安装了DICELOADER框架。STONEBOAT是一个之前从未出现的、基于.NET的内存投放器,它可以解密嵌入其中的shellcode有效载荷。然后,该有效载荷会被映射到内存中并被执行。STONEBOAT会首先加载一个名为DAVESHELL的中间加载器,然后执行DICELOADER有效载荷。DAVESHELL是一个开源的嵌入式有效载荷发射器,被包括FIN12在内的近30个威胁组织所使用。然而,用DAVESHELL加载DICELOADER的shellcode代码实现是一个小型威胁活动集群所独有的。
此外,作者还发现了多个分发BIRDWATCH的网络钓鱼活动,这些活动利用了各种电子邮件发送平台和营销平台的泄露账户,包括Maropost、ActiveCampaign和Mailjet。这一活动的归属被划分到未分类团体UNC3381里,作者怀疑该团体与FIN7有关联,但置信度不高。UNC3381在2021年9月首次被观察到,但利用Mailjet的类似活动可以追溯到2019年底,并且有很大概率与UNC3381有关。
在整个活动中,UNC3381使用了几乎相同的Quickbooks发票诱饵,并利用泄露账户的商标骗取信任,使其钓鱼活动看上去具有合法性。这些电子邮件包含一个恶意链接,首先途经一个与泄露账户平台相关的域名,然后重定向到一个页面,并且托管该页面的域名通常已经失陷。

FIN7的演变过程考察

图26:UNC3381以Quickbooks为主题的网络钓鱼邮件

UNC3381在这些活动中使用了多个恶意软件家族,包括两个不同的下载器软件家族WINGNIGHT和FLYHIGH。据观察,这两种下载器只有UNC3381会使用。WINGNIGHT是一个基于WSF的下载器,使用VBScript编写,而FLYHIGH是一个使用Excel XLL SDK开发的C语言下载器,并且通过伪装让人误以为使用了Excel-DNA框架。作者观察到WINGNIGHT和FLYHIGH都指向BIRDWATCH,通常利用其他被攻陷的域名作为下载服务器和BIRDWATCH C2控制器。UNC3381和FIN7基础设施之间存在有限的重叠,包括使用相同的DNS服务供应商和AS。
FIN7与勒索软件


Mandiant在2020年发布了结论情报,其中概述了FIN7在盈利入侵行为中可能发生转型的证据,证明其从(窃取)支付卡数据转向了勒索行动。尽管与以前相比,FIN7的行动有了很大的改变,但截至本报告发布时,Mandiant还未能将任何直接部署的勒索软件关联到FIN7上。然而,FIN7成员从事勒索软件行动已经被证实,证据包括入侵数据、代码使用、成员拥有的基础设施和可信的第三方来源。

在2020年的至少两次事件响应中,FIN7入侵痕迹(包括MAZE和RYUK的使用)出现在勒索软件加密数据之前。同样在2021年,Mandiant在一次涉及ALPHV勒索软件的事件响应行动中发现了FIN7的入侵行为。受调查范围及观测视野等因素影响,这些案例目前仍被归在单独跟踪的威胁团体中。
除了从入侵数据取得的证据外,第二手资料表明FIN7至少在一些DARKSIDE行动中发挥了作用。FIN7在2021年用于BEACON和BEAKDROP样本的不是很常见的代码签名证书,同时也被用于签名认证多个在野发现的无归属的DARKSIDE样本(表3)。上述FIN7所使用的代码签名证书在主题中包含公用名称“OASIS COURT LIMITED”。

FIN7的演变过程考察

图27: FIN7使用的代码签名证书,也用于签名认证多个DARKSIDE勒索软件样本

表3:使用代码证书签名的文件

文件MD5

备注

ab29b9e225a05bd17e919e1d0587289e

DNS BEACON

1c3b19163a3b15b39ae00bbe131b499a

DARKSIDE

230a681ebbcdba7ae2175f159394d044

DARKSIDE

bf41fc54f96d0106d34f1c48827006e4

DARKSIDE

c4da0137cbb99626fd44da707ae1bca8

DARKSIDE

28e9581ab34297b6e5f817f93281ffac

FIN7  BEACON

38786bc9de1f447d0187607eaae63f11

FIN7  BEACON

6fba605c2a02fc62e6ff1fb8e932a935

FIN7  BEAKDROP


结论



尽管美国司法部在2018年起诉了FIN7的成员,并在2021年宣布了相关的判决,但FIN7的一些成员仍然活跃,并随着时间的推移继续发展犯罪行动。在整个演变过程中,FIN7加快了行动的节奏,扩大了目标范围,甚至可能与地下网络犯罪中的其他勒索软件行动产生联系。


IOC列表:

指标

备注

0c6b41d25214f04abf9770a7bdfcee5d

BOATLAUNCH  32bit

21f153810b82852074f0f0f19c0b3208

BOATLAUNCH  64bit

02699f95f8568f52a00c6d0551be2de5

POWERPLANT

0291df4f7303775225c4044c8f054360

POWERPLANT

0fde02d159c4cd5bf721410ea9e72ee2

POWERPLANT

2cbb015d4c579e464d157faa16994f86

POWERPLANT

3803c82c1b2e28e3e6cca3ca73e6cce7

POWERPLANT

5a6bbcc1e44d3a612222df5238f5e7a8

POWERPLANT

833ae560a2347d5daf05d1f670a40c54

POWERPLANT

b637d33dbb951e7ad7fa198cbc9f78bc

POWERPLANT

bce9b919fa97e2429d14f255acfb18b4

POWERPLANT

d1d8902b499b5938404f8cece2918d3d

POWERPLANT

edb1f62230123abf88231fc1a7190b60

POWERPLANT

findoutcredit[.]com

POWERPLANT  C2

againcome[.]com

POWERPLANT  C2

modestoobgyn[.]com

POWERPLANT  C2

myshortbio[.]com

POWERPLANT  C2

estetictrance[.]com

POWERPLANT  C2

internethabit[.]com

POWERPLANT  C2

bestsecure2020[.]com

POWERPLANT  C2

chyprediction[.]com

POWERPLANT  C2

d405909fd2fd021372444b7b36a3b806

POWERTRASH  Cryptor & CARBANAK Payload

122cb55f1352b9a1aeafc83a85bfb165

CROWVIEW  (BIRDWATCH/JssLoader Variant)

domenuscdm[.]com

CROWVIEW/LOADOUT  C2

936b142d1045802c810e86553b332d2d

LOADOUT

23e1725769e99341bc9af48a0df64151

LOADOUT

4d56a1ca28d9427c440ec41b4969caa2

LOADOUT

50260f97ac2365cf0071e7c798b9edda

LOADOUT

spontaneousance[.]com

LOADOUT  C2

fashionableeder[.]com

LOADOUT  C2

incongruousance[.]com

LOADOUT  C2

electroncador[.]com

LOADOUT  C2

6fba605c2a02fc62e6ff1fb8e932a935

BEAKDROP

49ac220edf6d48680f763465c4c2771e

BEACON

astara20[.]com

BEACON  C2

coincidencious[.]com

BEACON  C2

52f5fcaf4260cb70e8d8c6076dcd0157

Trojanized  installer containing Atera Agent

78c828b515e676cc0d021e229318aeb6

WINGNIGHT

70bf088f2815a61ad2b1cc9d6e119a7f

WINGNIGHT

4961aec62fac8beeafffa5bfc841fab8

FLYHIGH


Mandiant安全验证操作:

VID

名称

A150-527

Command  and Control - FIN7, BATELEUR, Check-in

A150-528

Command  and Control - FIN7, GRIFFON, Check-in

A151-165

Command  and Control - FIN7, GRIFFON, DNS Query #1

A151-166

Command  and Control - FIN7, GRIFFON, DNS Query #2

A104-585

Host  CLI - FIN7, Local Javascript Execution via WMI and Mshta

A150-546

Malicious  File Transfer - FIN7, CARBANAK, Download, Variant #1

A150-548

Malicious  File Transfer - FIN7, CARBANAK, Download, Variant #3

A150-710

Malicious  File Transfer - FIN7, DICELOADER, Download, Variant #1

A150-549

Malicious  File Transfer - FIN7, DRIFTPIN, Download, Variant #1

A150-550

Malicious  File Transfer - FIN7, DRIFTPIN, Download, Variant #2

A151-168

Malicious  File Transfer - FIN7, GRIFFON, Download, JavaScript Variant

A150-553

Malicious  File Transfer - FIN7, GRIFFON, Download, Variant #1

A150-554

Malicious  File Transfer - FIN7, GRIFFON, Download, Variant #2

A150-555

Malicious  File Transfer - FIN7, GRIFFON, Download, Variant #3

A150-572

Malicious  File Transfer - FIN7, SUPERSOFT, Download, Variant #1

A150-729

Malicious  File Transfer - FIN7, TAKEOUT, Download, Variant #1

A150-730

Malicious  File Transfer - FIN7, TAKEOUT, Download, Variant #2

A150-731

Malicious  File Transfer - FIN7, TAKEOUT, Download, Variant #3

A150-585

Phishing  Email - Malicious Attachment, FIN7, BATELEUR DOC Lure

A150-586

Phishing  Email - Malicious Attachment, FIN7, GRIFFON DOCM Lure

A151-167

Phishing  Email - Malicious Attachment, FIN7, GRIFFON, Windows 11 Themed Lure

A150-587

Phishing  Email - Malicious Attachment, FIN7, Tracking Pixel

A150-590

Protected  Theater - FIN7, BATELEUR, Execution

A151-044

Protected  Theater - FIN7, CARBANAK, Execution

A150-366

Protected  Theater - FIN7, CULTSWAP, Execution

A150-591

Protected  Theater - FIN7, GRIFFON, Execution

A151-170

Protected  Theater - FIN7, GRIFFON, Execution, JavaScript Variant

A151-169

Protected  Theater - FIN7, GRIFFON, Execution, Word Document Variant


FIN7相关的MITRE ATT&CK映射:

执行

  • T1059:命令和脚本解释器

  • T1059.001:PowerShell

  • T1059.003:Windows命令提示符

  • T1059.005:Visual Basic

  • T1059.007:JavaScript

  • T1204.001:恶意链接

  • T1204.002:恶意文件

  • T1569.002:服务执行

初始入侵

  • T1195.002:攻击软件供应链

  • T1199:信任关系

  • T1566.001:鱼叉式网络钓鱼附件

  • T1566.002:鱼叉式网络钓鱼链接

影响

  • T1491.002:外部损坏

资源开发

  • T1583.003:虚拟专用服务器

  • T1588.003:代码签名证书

  • T1588.004:数字证书

  • T1608.003:安装数字证书

  • T1608.005:链接目标

防御规避

  • T1027.005:从工具中删除指标

  • T1036:伪装

  • T1036.003:系统应用程序重命名

  • T1055:进程注入

  • T1070.004::文件删除

  • T1140:解混淆/解码文件或信息

  • T1218.010:Regsvr32

  • T1218.011:Rundll32

  • T1497.001:系统检查

  • T1553.002:代码签名

  • T1564.003:隐藏窗口

  • T1620:反射式代码加载

收集

  • T1113:屏幕截图

  • T1213:来自信息库的数据

  • T1560:归档已收集的数据

横向移动

  • T1021.001:远程桌面协议

  • T1021.004:SSH

命令与控制

  • T1071.001:Web协议

  • T1090:代理

  • T1095:非应用层协议

  • T1105:远程文件复制

  • T1132.001:标准编码

  • T1573.002:非对称加密

发现

  • T1012:查询注册表

  • T1033:系统所有者/用户发现

  • T1057:进程发现

  • T1069:权限组发现

  • T1069.002:域组

  • T1082:系统信息发现

  • T1083:文件和目录发现

  • T1087:账户发现

  • T1087.002:域账户

  • T1482:域信任发现

  • T1518:软件发现

凭据访问

  • T1110.002:密码破解

  • T1555.003:浏览器中的凭据

  • T1558.003:Kerberoasting



END

参考链接:https://www.mandiant.com/resources/evolution-of-fin7


编辑|张逸鸣

审校|何双泽、金矢

本文为CNTIC编译整理,不代表本公众号观点,转载请保留出处与链接。联系信息进入公众号后点击“关于我们”可见。

FIN7的演变过程考察


原文始发于微信公众号(国家网络威胁情报共享开放平台):FIN7的演变过程考察

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月23日02:59:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  FIN7的演变过程考察 http://cn-sec.com/archives/916334.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: