Mandiant の新しい調査によると、金銭目的のハッキング グループ FIN7 はその活動を進化させ、MAZE、RYUK、DARKSIDE、ALPHV ランサムウェアを含むと考えられるランサムウェア攻撃にますます重点を置いていることが明らかになりました。
Mandiant は、他の脅威クラスターによる以前の活動を FIN7 に関連付けることができるようになりました。 これらは、FIN7 が進化してその操作の速度を上げ、その標的の範囲を拡大し、さらにはサイバー犯罪者のアンダーグラウンドでの他のランサムウェア操作との関係を拡大する可能性さえあることを示しています。
FIN7 に関する最も重要な調査結果
- 2020 年以降、これまで独立系に分類されていた合計 7 つのクライアント グループが FINXNUMX に統合されました。
これにより、ハッキング グループに関連するアクターの回復力が確認されました。 Mandiant では、2021 年 7 月以降、XNUMX 回の攻撃波で FINXNUMX の活動が増加しています。 - FIN7 が初めてサプライ チェーンを侵害した
このグループは、デジタル製品を販売する Web サイトを侵害しました。 彼女はいくつかのダウンロード リンクを変更して、Atera エージェント インストーラーを含むトロイの木馬化されたバージョンをホストする Amazon S3 バケットを指すようにしました。 これにより、POWERPLANT と呼ばれる新しいバックドアが設定される可能性があります。 - POWERPLANTは、そのフレームワークにより幅広い可能性を提供します
FIN7 は、2021 年に観測されたすべての攻撃で POWERPLANT を使用しました。この調査により、Mandiant は、FIN7 が POWERPLANT を使用している唯一の攻撃者である可能性が高いと評価しました。 - PowerShell は FIN7 のお気に入りの言語です
FIN7 は、攻撃キャンペーン用のマルウェアをさまざまなプログラミング言語で開発しました。 ただし、排他的な PowerShell ベースのローダーと独自の PowerShell コマンドが特に優先されます。
クライアントについて Mandiant は、動的なサイバー防御、脅威インテリジェンス、インシデント対応のリーダーとして認められています。 サイバー最前線での数十年の経験を持つ Mandiant は、組織が自信を持ってプロアクティブにサイバー脅威を防御し、攻撃に対応できるよう支援します。 Mandiant は現在、Google Cloud の一部です。