close
END
聚焦兩會·關注民生

關鍵字:威脅研究、金融威脅組織、威脅情報、FIN7

最近的公開研究表明,與FIN7有重疊的威脅團體已經發生了轉變,新的威脅團體涉及與REVIL、DARKSIDE、BLACKMATTER和ALPHV勒索軟件相關的定向勒索行動。隨着上述觀點的提出,Mandiant將發布與FIN7演變相關的研究,這些研究自從2019年Mahalo FIN7發布後還從未公開過。

通過對所掌握歷史入侵事件和近期入侵事件的關聯分析,Mandiant於2022年1月將8個以前未分類的攻擊團伙合併到了FIN7。本文還強調了FIN7活動在這段時間內的顯著變化,包括使用新型惡意軟件、編入新的初始入侵向量,以及在盈利策略方面可能發生的轉變。

FIN7繼續在入侵中使用名為POWERPLANT的PowerShell後門,他們持續開發該後門已有兩年時間。作者還發現他們使用了正在開發中的、被標識為CROWVIEW和FOWLGAZE的新版BIRDWATCH下載器。
FIN7的初始入侵技術趨於多樣化,除了傳統的網絡釣魚技術外,還包括軟件供應鏈攻擊和憑證竊取。此外,在較新的入侵事件中,FIN7使用POWERPLANT作為其在第一階段所使用的惡意軟件,而不是LOADOUT和(或)GRIFFON。
多個組織在遭遇由FIN7負責的(攻擊)活動後數據遭到盜竊勒索,或是被安裝了勒索軟件。上述現象結合對技術重疊程度的分析可以證明,隨着時間的推移,FIN7人員已經與各種勒索軟件的行動產生了聯繫。
Mandiant還跟蹤了多個疑似與FIN7有關的活動,包括與DICELOADER木馬相關的「BadUSB」活動,以及利用雲營銷平台傳播BIRDWATCH木馬的多個網絡釣魚活動。

自2017年首次披露關於FIN7的威脅報告和公開研究以來,作者發布了多篇與FIN7行動相關的博文,並且在Mandiant Advantage上提供了更詳細的內容。這篇博文將重點討論最新的FIN7入侵行動,以及所用到的溯源方法。

考慮時間因素的威脅歸因


作者所使用的溯源方法需要在多個層次上對收集到的威脅數據中進行重疊驗證,從而將疑似FIN7的未分類團體合併到核心FIN7集群中。合併的依據來源於對攻擊者基礎設施、入侵技術、作案手法,以及特定惡意代碼的分析。考慮到網絡犯罪行動的流動性和投機性,以及行動成員對於犯罪組織盲目的忠誠,嚴格的技術證據記錄在對現代網絡犯罪的溯源中顯得尤為重要。作者還經常觀察到多個威脅團體會在相近的時間內共同發起入侵行動,這些威脅團體有時甚至會在幾小時或幾分鐘內使用完全一致的入侵方式,這在勒索軟件的生態系統中尤其明顯。另外,Mandiant已經觀察到個人行動轉變為團隊行動、團隊行動轉變為聯盟行動的情況。同時,入侵中所使用的TTPs也取決於合作的對象和攻擊的目標。
迄今為止,作者懷疑還有17個未分類團體與FIN7有不同程度的附屬關係,然而這些團體並沒有正式地併入FIN7。他們的活動時間最早可以追溯到2015年,最近可以追溯到2021年底,共涉及36次入侵事件。有8個自2020年以來一直活躍的團體曾被懷疑與FIN7有關,並在最近正式併入了FIN7,證實了威脅團體相關的人員具有一定的可調整性。
(1) 2020年活動概述:以LOADOUT為主
FIN7在2020年的春季和夏季非常活躍,他們發起網絡釣魚活動,並嘗試分發LOADOUT和GRIFFON。通過分析所跟蹤的攻擊活動發現,在此期間有五個最終在2021年末的相關分析里被合併到FIN7的新派別中的未分類團體被創建,這一過程使得作者得以更加深入的了解FIN7:在2020年將未分類團體合併後,FIN7使用過的惡意軟件家族新增了LOADOUT、TAKEOUT和BIRDWATCH變體。

圖1:FIN7從2020到2021年的活動

LOADOUT是一個經過混淆的VBScript下載器,它能夠從被感染的系統中獲取大量信息,並將信息發送到命令與控制(C2)服務器。C2服務器響應LOADOUT的請求,然後向被感染的系統投送GRIFFON,這是一個基於JavaScript的下載器,能夠使用HTTP或DNS獲取JavaScript模塊並在內存中執行。

2020年夏末,FIN7首次使用了名為POWERPLANT的新後門,這也是他們在2020年的最後一次活動。POWERPLANT,也被稱為「KillACK」,是一個功能豐富的PowerShell後門,最初出現在2020年8月,由GRIFFON成功感染系統後投送。使用POWERPLANT的組織在2021年完成合併後,作者認為FIN7可能是唯一一個使用POWERPLANT的組織。
(2) 2021年活動概述:轉向POWERPLANT
從2021年4月開始的五次入侵中,疑似FIN7的未分類團體活動有所上升。這種上升趨勢導致作者開展了對FIN7的深入研究工作。作者還觀察到FIN7改變了他們的初始入侵技術,不再使用LOADOUT、GRIFFON或CARBANAK,而是直接部署POWERPLANT和BEACON
具體來說,FIN7在2021年所有已知的入侵行動中都使用了POWERPLANT。FIN7還依靠BEACON作為備用的初始入侵方式,在某些情況下與POWERPLANT搭配使用。在整個2021年裡,作者仔細考察了許多與FIN7相關的未分類團體,增加了所掌握的FIN7情報的廣度,並且合併了多個威脅群組。研究顯示,在FIN7中舊的入侵技術和新的惡意軟件已經完成了融合。
PowerShell:FIN7根深蒂固的習慣


毫無疑問,FIN7十分鐘愛PowerShell。FIN7在其攻擊行動中使用了許多編程語言來編寫他們的惡意軟件,然而在涉及到與系統的互動時,精心構建的PowerShell加載器和獨特的PowerShell命令是FIN7的首選工具。

作者對之前的FIN7入侵事件進行了深入研究,並發現了幾個獨特PowerShell調用方法,這些調用方法最早可以追溯到2019,並且至今仍在使用。圖2和圖3所示的命令行,除了FIN7和疑似FIN7的未分類團體以外,在全球範圍都很少出現。

圖2:2019年以來FIN7的PowerShell執行模式

圖3:2021年以來FIN7的PowerShell執行模式

圖2和圖3命令行被用於啟動管理員共享文件夾中的腳本和安裝Windows服務,其獨特之處在於所使用的參數-noni -nop -exe bypass -f。自2019年以來,FIN7在通過CARBANAK等惡意軟件與受害者系統進行互動時使用了此類命令行參數。此後,作者在分析POWERPLANT的感染過程時,發現一些獨特的PowerShell命令發生了改變。

2019年以來,在不同入侵事件中共同出現過的執行模式揭露了多種以-ex bypass -f或-ex bypass -file為參數的PowerShell命令行。雖然這些執行模式看上去比較簡短,但在FIN7相關的威脅活動之外,這些組合在全球的出現率極低。例如,第一種命令行出現了2800多次,均與FIN7引發的事件有關。第二種命令行早在2019年就在10個不同的受害者中出現過近250次,最終也都指向了FIN7。

圖4:2019年以來FIN7的PowerShell執行模式

圖5:2020年以來FIN7的PowerShell執行模式

圖6:2021年以來FIN7的PowerShell執行模式

除了FIN7在入侵行動中獨特的命令行外,作者還發現了其他PowerShell代碼家族的長期使用,如POWERTRASH。POWERTRASH是一個用PowerShell編寫的內存投放器,或稱加載器,可以執行內嵌的有效載荷。目前發現由FIN7的POWERTRASH加載的有效載荷包括CARBANAK、DICELOADER、SUPERSOFT、BEACON和PILLOWMINT。POWERTRASH是PowerSploit框架中shellcode調用模塊的一個經過專門混淆的版本,該框架可以從GitHub中獲取。

隨着對FIN7入侵行動理解的加深,作者整合了他們的分析工作,並開始將多個可疑的未分類團體合併到FIN7中。作為這一舉措的一部分,作者在其為客戶提供的2021年防禦託管及快速響應僱傭服務中,增加了與FIN7識別相關的新任務。

防禦託管


FIN7選擇的目標組織廣泛分布在許多的行業,包括軟件業、諮詢業、金融服務、醫療設備、雲服務、媒體、食品與飲料、運輸業,以及公用事業。自2020年以來,作者在他們的客戶群體中發現了十多起與FIN7相關的入侵事件。下面的使用案例介紹了在2021年Mandiant託管防禦僱傭中的FIN7所使用的技術。

(1)FIN7入侵實例

為了在這次入侵行動中獲得初始訪問權,FIN7使用了遭到泄露的遠程桌面協議(RDP)憑據,在兩個不同的時間登錄到目標服務器,並啟動了兩個類似的Windows進程鏈(圖7)。

圖7:兩條FIN7進程事件鏈

FIN7利用已經建立的RDP訪問權限來進一步地控制主機,首先執行了PowerShell偵察腳本,然後執行了TERMITE加載器(圖8)。

圖8:LOADOUT作為信標發送的系統調查信息

TERMITE是一個受密碼保護的shellcode加載器,至少有七個不同的威脅集團使用它來加載BEACON、METASPLOIT和BUGHATCH的shellcode。在這裡,FIN7使用TERMITE來加載和執行Cobalt Strike BEACON的shellcode Stager。

在通過BEACON進行第二階段的入侵後,FIN7開始使用內置的Windows命令以及POWERSPLOIT和Kerberoasting的PowerShell模塊進行進一步的枚舉。

cmd.exe /C net group "Domain Admins" /domaincmd.exe /C quserpowershell.exe -c import-module C:\Users\Public\kerberoast_hex.ps1; Invoke-Kerberoast -OutputFormat HashCat > hash.txtpowershell.exe -ex bypass -c import-module C:\Users\Public\kerberoast_hex.ps1; Invoke-Kerberoast -OutputFormat HashCatpowershell.exe -ex bypass -f pkit.ps

在使用RDP和BEACON進行初步偵察後,FIN7使用經過混淆的加載器將定製的PowerShell後門POWERPLANT載入受害者系統中,並展開第三階段的入侵:

powershell.exe -ex bypass -f cube.ps1

隨後,FIN7嘗試竊取憑據並進一步攻擊受害者的環境,但成功率有限,因為客戶能夠利用託管型防禦與響應(服務)來進行應急響應與快速補救。

本次入侵事件的一個側面凸顯了網絡犯罪技術溯源中的挑戰:在FIN7入侵受害者系統的兩天之間,FIN12也在同一個受害者系統中活動了數小時,並且使用了同一個RDP賬戶。但FIN12所使用的基礎措施和技術與FIN7大不相同,他們試圖使用WEIRDLOOP內存投放器來安裝BEACON,直到受害者開展補救工作。

FIN7的規避技術


在混淆方面的創造力和快速更新的規避技術是FIN7維持至今的重要特徵,他們在入侵的第一階段所使用的投放器和下載器都經過了嚴重的混淆。特別是LOADOUT,其在投機主義活動中廣泛傳播,並且經歷了數次旨在提高規避能力的迭代。

最初的混淆機制非常基礎,但能夠有效地規避靜態檢測,其做法是將惡意代碼與隨機的垃圾代碼穿插在一起(圖10)。LOADOUT在數月的行動中大獲成功,AV檢測引擎隨即改善了對該下載器的覆蓋率。為了在發送消息時繞過檢測,LOADOUT開發者通過簡單地在字符串中插入「FUCKAV」,將信標中疑似會被檢測的特徵拆分開。

圖9:LOADOUT作為信標發送的系統調查信息

圖10:混淆LOADOUT

事實上,開發者正確地定位到了被用於檢測的字符串。通過對信標的分析,作者發現有一個新開發中的LOADOUT變體(MD5:485b2a920f3b5ae7cfad93a4120ec20d)在提交到VirusTotal後,只有一個反病毒引擎能夠將其檢測出來(圖11)。兩個小時後,又有一個新版本(MD5: 012e7b4d6b5cb8d46771852c66c71d6d)被提交,這次他們通過自定義的混淆機制處理了違規的PowerShell命令(圖12)。

圖11:混淆前的PowerShell命令

圖12:PowerShell命令混淆

FIN7相關人員歷來都會在公共資源庫上測試他們的工具,以檢查靜態檢測引擎的覆蓋率。在這種情況下,他們很可能是在測試其自定義混淆方法的強度。

5個月後,這個新的改進版的LOADOUT出現了。它經過重構,增加了多層混淆,包括穿插聖經詩句作為填充文本,以及通過自定義機制進行的字符串混淆(圖13)。

圖13:LOADOUT自定義的字符串混淆

POWERPLANT:FIN7的PowerShell主力


FIN7利用多種方法進入受害者網絡,包括網絡釣魚、攻擊第三方系統、Atera代理安裝包、GoToAssist和RDP。在最近的一個案例中,FIN7入侵了一個銷售數字產品的網站,並修改了多個下載鏈接,使之指向用於託管木馬的Amazon S3存儲桶,其中包含一個Atera代理安裝包。這個遠程管理工具之後將被用來把POWERPLANT部署到受害者的系統中。這是Mandiant第一次觀察到FIN7利用供應鏈攻擊的情況。FIN7久經考驗的CARBANAK和DICELOADER(也被稱為Lizar)惡意軟件仍在使用,然而FIN7在最近的入侵中更傾向於使用POWERPLANT後門。

對POWERPLANT的研究表明,它是一個強大且龐大的後門框架,並且其實際擁有的能力取決於C2服務器所提供的模塊。POWERPLANT後門的代碼中包含內部版本標識符。表1展示了從「0.012」版本到「0.028」版本之間已經被發現的樣本。

表1:POWERPLANT樣本

POWERPLANT樣本MD5

版本

5a6bbcc1e44d3a612222df5238f5e7a8

0.012

0291df4f7303775225c4044c8f054360

0.016

3803c82c1b2e28e3e6cca3ca73e6cce7

0.019

d1d8902b499b5938404f8cece2918d3d

0.021(TLS1)

833ae560a2347d5daf05d1f670a40c54

0.021b(SVC)

edb1f62230123abf88231fc1a7190b60

0.021c(SVC)

bce9b919fa97e2429d14f255acfb18b4

0.022

b637d33dbb951e7ad7fa198cbc9f78bc

0.025

2cbb015d4c579e464d157faa16994f86

0.028

這些內部版本號的增長的速度表明,FIN7正在積極開發POWERPLANT(圖14)。在一次行動中,FIN7在目標系統上部署了功能經過微調的新版POWERPLANT。行動中的FIN7在十分鐘內使用了兩個版本的POWERPLANT,分別為「0.023」和「0.025」。每個版本的功能都大體類似,較新版本通常有方案上的改進和功能的新增。

圖14:POWERPLANT版本號

Mandiant還從POWERPLANT控制器中恢復了服務器端部分的代碼組件。部分組件中的線索暗示了惡意軟件開發者所具有的防範意識。兩個例子可以表明FIN7已經意識到研究人員在調查他們的基礎設施,並根據用戶名等特徵封禁了一部分的主機。

圖15:POWERPLANT服務器設置中的功能片斷

圖16:POWERPLANT服務器設置中的功能片斷

圖17:POWERPLANT服務器配置中的功能片斷

在C2會話的活動期間,POWERPLANT服務器將發送多個額外的模塊類型作為「任務」供目標系統執行。以下將介紹其中的兩個模塊,分別為EASYLOOK和BOATLAUNCH。
(1) EASYLOOK模塊
EASYLOOK是FIN7至少從2019年就開始使用的偵查工具。EASYLOOK從受感染的系統中捕獲了大量的數據,包括操作系統版本、註冊密鑰、系統名稱、用戶名、域名信息和硬件規格。
EASYLOOK的初始版本是由GRIFFON C2服務器提供的,使用JScript編寫(圖19)。FIN7的新版EASYLOOK是由POWERPLANT變體C2服務器提供的,使用PowerShell編寫(圖18)。這兩個版本在兩種代碼語言中實現了完全相同的功能,就連「bios_versoin」這一輸入錯誤也完全一致。

圖18:使用PowerShell編寫的FIN7 EASYLOOK變體中的VM檢查

圖19:使用JavaScript編寫的FIN7 EASYLOOK第一個變體中的VM檢查

(2) BOATLAUNCH模塊
BOATLAUNCH是FIN7 POWERPLANT控制器發送的一個工具,在入侵行動中作為輔助模塊使用。BOATLAUNCH用於修復被感染系統上的PowerShell進程,以繞過Windows的反惡意軟件掃描接口(AMSI)。惡意軟件循環執行,不斷地尋找未打補丁的PowerShell進程,一但定位到就為其打上amsi.dll!AmsiScanBuffer補丁,使其5個字節的指令序列總是返回S_OK。
為AMSI打補丁是常見AMSI繞過技術的一個變種。已經觀察到BOATLAUNCH的32位和64位變體都使用了以下的導出表所含的DLL名稱(表2)。

表2:BOATLAUNCH PE導出表所含的DLL名稱

BOATLAUNCH位數

DLL名稱

32-bit

amsi32_kill.dll

64-bit

amsi64_kill.dll

BIRDWATCH的奇特案例


作者在深入調查後還發現存在使用BIRDWATCH的情況,以及FIN7和疑似FIN7的團體(如UNC3381)所使用的BIRDWATCH變種。BIRDWATCH是一個基於.NET的下載器,它通過HTTP獲取有效載荷,將它們寫入磁盤並執行。BIRDWATCH還會上傳從目標系統中取得的偵察信息,其中包括運行的進程、安裝的軟件、網絡配置、瀏覽器信息和活動目錄數據。

BIRDWATCH通常被統稱為「JssLoader」。然而,BIRDWATCH存在多種變體,作者將其作為獨立的代碼家族進行跟蹤。BIRDWATCH的一個變體是CROWVIEW,儘管同樣基於.NET,但它與原型BIRDWATCH在代碼上差異明顯,因此被單獨歸為一類。與BIRDWATCH不同的是,CROWVIEW可以容納一個內嵌的有效載荷,可以自我刪除,支持額外的參數,並且所存儲的配置也稍有差異。

FIN7會使用不同的編程語言中實現了類似或完全相同的功能,這一現象在過去幾年觀察到的各種代碼家族中反覆出現。與EASYLOOK類似,BIRDWATCH和CROWVIEW存在JScript和PowerShell的變體,除此以外還有使用C++實現的獨立版本。這些代碼重用與重疊的數據,與在基礎設施和技術方面的分析相結合,有助於在合併多個未分類團體時進行技術溯源。

在第一個例子中,BIOS(基本輸入輸出系統)序列號收集功能在POWERPLANT和CROWVIEW代碼家族中均有出現。

圖20:FIN7相關的C#版CROWVIEW代碼片段,這是BIRDWATCH的一個變體

圖21:FIN7相關的PowerShell版POWERPLANT代碼片段

圖22:FOWLGAZE("JssLoader")的JSON數據收集格式片段

圖23:EASYLOOK(偵察模塊)的數據收集代碼片段

最後一個代碼重用的例子是「theAnswer」的使用,它是一個變量,在CROWVIEW和POWERPLANT對C2服務器發送POST請求的功能中出現,如圖24和圖25所示。

圖24:FIN7相關的C#版CROWVIEW和BIRDWATCH(JssLoader)代碼片段

圖25:FIN7相關的PowerShell版POWERPLANT代碼片段

惡意軟件中的代碼有時會被認為是公共威脅溯源中的主要數據。但如果只有代碼的重疊,而沒有充分的額外數據作為佐證(如入侵數據和基礎設施),則難以全面地評估一個未分類團體是否應該被合併。在整個2021年和2022年初,作者已經發現並將持續跟蹤多個疑似FIN7的新興未分類團體及其活動的發展。
疑似FIN7團體近期的其他活動


2021年10月,Mandiant觀察到一個主要針對美國組織的活動,攻擊者向受害者組織郵寄名為「BadUSB」的惡意USB設備。這一活動的歸屬被劃分到未分類團體UNC3319里,作者懷疑該團體與FIN7有關聯,但置信度不高。

經過編程的USB硬件首先會下載STONEBOAT,並最終在受害者系統上安裝了DICELOADER框架。STONEBOAT是一個之前從未出現的、基於.NET的內存投放器,它可以解密嵌入其中的shellcode有效載荷。然後,該有效載荷會被映射到內存中並被執行。STONEBOAT會首先加載一個名為DAVESHELL的中間加載器,然後執行DICELOADER有效載荷。DAVESHELL是一個開源的嵌入式有效載荷發射器,被包括FIN12在內的近30個威脅組織所使用。然而,用DAVESHELL加載DICELOADER的shellcode代碼實現是一個小型威脅活動集群所獨有的。
此外,作者還發現了多個分發BIRDWATCH的網絡釣魚活動,這些活動利用了各種電子郵件發送平台和營銷平台的泄露賬戶,包括Maropost、ActiveCampaign和Mailjet。這一活動的歸屬被劃分到未分類團體UNC3381里,作者懷疑該團體與FIN7有關聯,但置信度不高。UNC3381在2021年9月首次被觀察到,但利用Mailjet的類似活動可以追溯到2019年底,並且有很大概率與UNC3381有關。
在整個活動中,UNC3381使用了幾乎相同的Quickbooks發票誘餌,並利用泄露賬戶的商標騙取信任,使其釣魚活動看上去具有合法性。這些電子郵件包含一個惡意鏈接,首先途經一個與泄露賬戶平台相關的域名,然後重定向到一個頁面,並且託管該頁面的域名通常已經失陷。

圖26:UNC3381以Quickbooks為主題的網絡釣魚郵件

UNC3381在這些活動中使用了多個惡意軟件家族,包括兩個不同的下載器軟件家族WINGNIGHT和FLYHIGH。據觀察,這兩種下載器只有UNC3381會使用。WINGNIGHT是一個基於WSF的下載器,使用VBScript編寫,而FLYHIGH是一個使用Excel XLL SDK開發的C語言下載器,並且通過偽裝讓人誤以為使用了Excel-DNA框架。作者觀察到WINGNIGHT和FLYHIGH都指向BIRDWATCH,通常利用其他被攻陷的域名作為下載服務器和BIRDWATCH C2控制器。UNC3381和FIN7基礎設施之間存在有限的重疊,包括使用相同的DNS服務供應商和AS。
FIN7與勒索軟件


Mandiant在2020年發布了結論情報,其中概述了FIN7在盈利入侵行為中可能發生轉型的證據,證明其從(竊取)支付卡數據轉向了勒索行動。儘管與以前相比,FIN7的行動有了很大的改變,但截至本報告發布時,Mandiant還未能將任何直接部署的勒索軟件關聯到FIN7上。然而,FIN7成員從事勒索軟件行動已經被證實,證據包括入侵數據、代碼使用、成員擁有的基礎設施和可信的第三方來源。

在2020年的至少兩次事件響應中,FIN7入侵痕跡(包括MAZE和RYUK的使用)出現在勒索軟件加密數據之前。同樣在2021年,Mandiant在一次涉及ALPHV勒索軟件的事件響應行動中發現了FIN7的入侵行為。受調查範圍及觀測視野等因素影響,這些案例目前仍被歸在單獨跟蹤的威脅團體中。
除了從入侵數據取得的證據外,第二手資料表明FIN7至少在一些DARKSIDE行動中發揮了作用。FIN7在2021年用於BEACON和BEAKDROP樣本的不是很常見的代碼簽名證書,同時也被用於簽名認證多個在野發現的無歸屬的DARKSIDE樣本(表3)。上述FIN7所使用的代碼簽名證書在主題中包含公用名稱「OASIS COURT LIMITED」。

圖27: FIN7使用的代碼簽名證書,也用於簽名認證多個DARKSIDE勒索軟件樣本

表3:使用代碼證書籤名的文件

文件MD5

備註

ab29b9e225a05bd17e919e1d0587289e

DNS BEACON

1c3b19163a3b15b39ae00bbe131b499a

DARKSIDE

230a681ebbcdba7ae2175f159394d044

DARKSIDE

bf41fc54f96d0106d34f1c48827006e4

DARKSIDE

c4da0137cbb99626fd44da707ae1bca8

DARKSIDE

28e9581ab34297b6e5f817f93281ffac

FIN7 BEACON

38786bc9de1f447d0187607eaae63f11

FIN7 BEACON

6fba605c2a02fc62e6ff1fb8e932a935

FIN7 BEAKDROP

結論


儘管美國司法部在2018年起訴了FIN7的成員,並在2021年宣布了相關的判決,但FIN7的一些成員仍然活躍,並隨着時間的推移繼續發展犯罪行動。在整個演變過程中,FIN7加快了行動的節奏,擴大了目標範圍,甚至可能與地下網絡犯罪中的其他勒索軟件行動產生聯繫。


IOC列表:

指標

備註

0c6b41d25214f04abf9770a7bdfcee5d

BOATLAUNCH 32bit

21f153810b82852074f0f0f19c0b3208

BOATLAUNCH 64bit

02699f95f8568f52a00c6d0551be2de5

POWERPLANT

0291df4f7303775225c4044c8f054360

POWERPLANT

0fde02d159c4cd5bf721410ea9e72ee2

POWERPLANT

2cbb015d4c579e464d157faa16994f86

POWERPLANT

3803c82c1b2e28e3e6cca3ca73e6cce7

POWERPLANT

5a6bbcc1e44d3a612222df5238f5e7a8

POWERPLANT

833ae560a2347d5daf05d1f670a40c54

POWERPLANT

b637d33dbb951e7ad7fa198cbc9f78bc

POWERPLANT

bce9b919fa97e2429d14f255acfb18b4

POWERPLANT

d1d8902b499b5938404f8cece2918d3d

POWERPLANT

edb1f62230123abf88231fc1a7190b60

POWERPLANT

findoutcredit[.]com

POWERPLANT C2

againcome[.]com

POWERPLANT C2

modestoobgyn[.]com

POWERPLANT C2

myshortbio[.]com

POWERPLANT C2

estetictrance[.]com

POWERPLANT C2

internethabit[.]com

POWERPLANT C2

bestsecure2020[.]com

POWERPLANT C2

chyprediction[.]com

POWERPLANT C2

d405909fd2fd021372444b7b36a3b806

POWERTRASH Cryptor & CARBANAK Payload

122cb55f1352b9a1aeafc83a85bfb165

CROWVIEW (BIRDWATCH/JssLoader Variant)

domenuscdm[.]com

CROWVIEW/LOADOUT C2

936b142d1045802c810e86553b332d2d

LOADOUT

23e1725769e99341bc9af48a0df64151

LOADOUT

4d56a1ca28d9427c440ec41b4969caa2

LOADOUT

50260f97ac2365cf0071e7c798b9edda

LOADOUT

spontaneousance[.]com

LOADOUT C2

fashionableeder[.]com

LOADOUT C2

incongruousance[.]com

LOADOUT C2

electroncador[.]com

LOADOUT C2

6fba605c2a02fc62e6ff1fb8e932a935

BEAKDROP

49ac220edf6d48680f763465c4c2771e

BEACON

astara20[.]com

BEACON C2

coincidencious[.]com

BEACON C2

52f5fcaf4260cb70e8d8c6076dcd0157

Trojanized installer containing Atera Agent

78c828b515e676cc0d021e229318aeb6

WINGNIGHT

70bf088f2815a61ad2b1cc9d6e119a7f

WINGNIGHT

4961aec62fac8beeafffa5bfc841fab8

FLYHIGH

Mandiant安全驗證操作:

VID

名稱

A150-527

Command and Control - FIN7, BATELEUR, Check-in

A150-528

Command and Control - FIN7, GRIFFON, Check-in

A151-165

Command and Control - FIN7, GRIFFON, DNS Query #1

A151-166

Command and Control - FIN7, GRIFFON, DNS Query #2

A104-585

Host CLI - FIN7, Local Javascript Execution via WMI and Mshta

A150-546

Malicious File Transfer - FIN7, CARBANAK, Download, Variant #1

A150-548

Malicious File Transfer - FIN7, CARBANAK, Download, Variant #3

A150-710

Malicious File Transfer - FIN7, DICELOADER, Download, Variant #1

A150-549

Malicious File Transfer - FIN7, DRIFTPIN, Download, Variant #1

A150-550

Malicious File Transfer - FIN7, DRIFTPIN, Download, Variant #2

A151-168

Malicious File Transfer - FIN7, GRIFFON, Download, JavaScript Variant

A150-553

Malicious File Transfer - FIN7, GRIFFON, Download, Variant #1

A150-554

Malicious File Transfer - FIN7, GRIFFON, Download, Variant #2

A150-555

Malicious File Transfer - FIN7, GRIFFON, Download, Variant #3

A150-572

Malicious File Transfer - FIN7, SUPERSOFT, Download, Variant #1

A150-729

Malicious File Transfer - FIN7, TAKEOUT, Download, Variant #1

A150-730

Malicious File Transfer - FIN7, TAKEOUT, Download, Variant #2

A150-731

Malicious File Transfer - FIN7, TAKEOUT, Download, Variant #3

A150-585

Phishing Email - Malicious Attachment, FIN7, BATELEUR DOC Lure

A150-586

Phishing Email - Malicious Attachment, FIN7, GRIFFON DOCM Lure

A151-167

Phishing Email - Malicious Attachment, FIN7, GRIFFON, Windows 11 Themed Lure

A150-587

Phishing Email - Malicious Attachment, FIN7, Tracking Pixel

A150-590

Protected Theater - FIN7, BATELEUR, Execution

A151-044

Protected Theater - FIN7, CARBANAK, Execution

A150-366

Protected Theater - FIN7, CULTSWAP, Execution

A150-591

Protected Theater - FIN7, GRIFFON, Execution

A151-170

Protected Theater - FIN7, GRIFFON, Execution, JavaScript Variant

A151-169

Protected Theater - FIN7, GRIFFON, Execution, Word Document Variant

FIN7相關的MITRE ATT&CK映射:

執行

T1059:命令和腳本解釋器

T1059.001:PowerShell

T1059.003:Windows命令提示符

T1059.005:Visual Basic

T1059.007:JavaScript

T1204.001:惡意鏈接

T1204.002:惡意文件

T1569.002:服務執行

初始入侵

T1195.002:攻擊軟件供應鏈

T1199:信任關係

T1566.001:魚叉式網絡釣魚附件

T1566.002:魚叉式網絡釣魚鏈接

影響

T1491.002:外部損壞

資源開發

T1583.003:虛擬專用服務器

T1588.003:代碼簽名證書

T1588.004:數字證書

T1608.003:安裝數字證書

T1608.005:鏈接目標

防禦規避
T1027.005:從工具中刪除指標T1036:偽裝T1036.003:系統應用程序重命名T1055:進程注入T1070.004::文件刪除T1140:解混淆/解碼文件或信息T1218.010:Regsvr32T1218.011:Rundll32T1497.001:系統檢查T1553.002:代碼簽名T1564.003:隱藏窗口T1620:反射式代碼加載
收集
T1113:屏幕截圖T1213:來自信息庫的數據T1560:歸檔已收集的數據
橫向移動
T1021.001:遠程桌面協議T1021.004:SSH
命令與控制
T1071.001:Web協議T1090:代理T1095:非應用層協議T1105:遠程文件複製T1132.001:標準編碼T1573.002:非對稱加密
發現
T1012:查詢註冊表T1033:系統所有者/用戶發現T1057:進程發現T1069:權限組發現T1069.002:域組T1082:系統信息發現T1083:文件和目錄發現T1087:賬戶發現T1087.002:域賬戶T1482:域信任發現T1518:軟件發現
憑據訪問
T1110.002:密碼破解T1555.003:瀏覽器中的憑據T1558.003:Kerberoasting


END

參考鏈接:https://www.mandiant.com/resources/evolution-of-fin7


編輯|張逸鳴

審校|何雙澤、金矢

本文為CNTIC編譯整理,不代表本公眾號觀點,轉載請保留出處與鏈接。聯繫信息進入公眾號後點擊「關於我們」可見。


arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()