FIN7 ギャングの戦略:運輸/保険/防衛をターゲットにサプライチェーン攻撃?

FIN7 Hackers Leveraging Password Reuse and Software Supply Chain Attacks

2022/04/05 TheHackerNews — この FIN7 と名付けられたサイバー犯罪グループは、当初からのアクセス・ベクターを多様化させ、ソフトウェア・サプライチェーン侵害や、盗まれた認証情報の利用などを取り入れていることが、新しい調査により明らかになった。インシデント・レスポンス会社である Mandiant は月曜日のレポートで、「複数の組織における FIN7 による活動のあとに続く、データ盗難/ランサムウェア展開/技術的重複から、長年に渡り FIN7 の行為者は、様々なランサムウェア・オペレーションと関連していたことが示唆される」と述べている。

このサイバー犯罪者グループは、2010年代半ばに出現して以来、クレジット・カード情報窃取マルウェアにより、レストラン/ギャンブル/ホスピタリティ業界向けの POS システムを標的とした、大規模なマルウェア・キャンペーンにより存在感を示してきた。

Recorded Future の Gemini Advisory ユニットの 2021年10月のレポートによると、FIN7 はマネタイズ戦略をランサムウェアにシフトしている。この敵対者は Bastion Secure という偽のフロント企業を立ち上げ、ランサムウェア攻撃は開始するまでの間に、不特定多数の侵入テスト者を募集しているも判明している。

さらに 2022年1月には、米国連邦捜査局 (FBI) が Flash Alert を発し、この組織は資金力にものをいわせて悪質な USB メモリ (別名 BadUSB) を、米国の運輸/保険/防衛などのターゲット企業に送り、そのシステムにランサムウェアなどのマルウェアを感染させていると警告している。


2020年以降、この行為者が仕掛けた侵入では、POWERPLANT と呼ばれる広大な PowerShell バックドア・フレームワークが展開され、PowerShell ベースのマルウェアを攻撃活動に使用するという傾向が続いている。Mandiant の研究者たちは「 PowerShell が FIN7 に好まれる言語であることに間違いはない」述べている。

FIN7 は、デジタル製品を販売する Web サイトを侵害している。具体的には、複数のダウンロード・リンクを細工して、正規のリモート管理ツールである Atera Agent などの、トロイの木馬バージョンをホストする Amazon S3 バケットを指すようにし、被害者のシステムに POWERPLANT を配信していることが確認されている。

これまでにはフィッシング詐欺が中心となっていたが、この新たなサプライチェーン攻撃は、イニシャル・アクセスやイニシャル・マルウェア展開のための技術を、同グループが進化させたことを示すものでもある。

このグループが侵入を容易にするために使用したツールには、偵察ユーティリティの EASYLOOK/Windows AntiMalware Scan Interface (AMSI) 回避のためのヘルパーモジュール BOATLAUNCH、そして、HTTP 経由で受け取った次段階のバイナリをフェッチ/実行する .NETベース・ダウンローダーの BIRDWATCH などがある。

Mandiantの研究者たちは、「2018年に FIN7 のメンバーが起訴され、2021年には米国司法省が判決を公表しているが、少なくとも一部のメンバーは活動を続け、時間をかけて犯罪行為を進化させ続けている。FIN7 は、作戦テンポの速さや、ターゲティングの範囲などを進化させているが、サイバー犯罪者たちのランサムウェア作戦との関係性も高めている」と述べている。

FIN というコードのつく記事を検索したところ、2021年8月の「FIN8 の最新バックドアは金融分野がターゲット?」、2021年10月の「FIN12 ランサムウェアは医療機関を狙う:時間をかけない素早い侵害が特徴」、2022年1月の「White Rabbit と呼ばれる新しいランサムウェア登場:金融を狙う FIN8 の亜種なのか?」などがヒットしました。いずれも、金融から始まったターゲットを、その他の分野へと広げているようです。また、BadUSB で検索したら、2022年1月の「FBI 警告:米国の防衛産業を標的に悪意の USB デバイスが郵送されている」と、2022年2月の「産業用制御システムへのランサムウェア攻撃:頻度と影響力が増大している」がヒットしました。

%d bloggers like this: