Mandiant'ın yeni araştırmasına göre finansal motivasyona sahip bilgisayar korsanlığı grubu FIN7, operasyonlarını geliştirdi ve MAZE, RYUK, DARKSIDE ve ALPHV fidye yazılımını içerdiğine inanılan fidye yazılımı saldırılarına giderek daha fazla odaklanıyor.
Mandiant artık diğer tehdit kümelerinin önceki faaliyetlerini FIN7'ye bağlayabildi. Bunlar, FIN7'nin operasyonlarının hızını artırmak, hedeflerinin kapsamını genişletmek ve hatta yeraltındaki siber suçlulardaki diğer fidye yazılımı operasyonlarıyla ilişkilerini genişletmek için geliştiğini gösteriyor.
FIN7 ile ilgili en önemli bulgular
- 2020'den bu yana, daha önce bağımsız olarak sınıflandırılan toplam sekiz müşteri grubu FIN7'de birleştirildi
Bu, bilgisayar korsanlığı grubuyla ilişkili aktörlerin dayanıklılığını doğrular. Mandiant, Nisan 2021'den bu yana beş saldırı dalgasında FIN7 aktivitesinde artış gördü. - FIN7 ilk kez bir tedarik zincirini tehlikeye attı
Grup, dijital ürünler satan bir web sitesini ele geçirdi. Bir Atera aracı yükleyicisi içeren truva atı uygulanmış sürümleri barındıran bir Amazon S3 klasörüne işaret etmek için birkaç indirme bağlantısını değiştirdi. Bununla GÜÇ SANTRALİ adı verilen yeni bir arka kapı kurulabilir. - GÜÇ SANTRALİ çerçevesi sayesinde geniş olanaklar sunar
FIN7, 2021'de gözlemlenen tüm saldırılarda POWERPLANT kullandı. Araştırma, Mandiant'ın FIN7'nin POWERPLANT kullanan tek aktör olduğunu değerlendirmesine yol açıyor. - PowerShell, FIN7'nin favori dilidir
FIN7, kötü amaçlı yazılımı saldırı kampanyaları için birçok farklı programlama dilinde geliştirdi. Ancak, özel PowerShell tabanlı yükleyiciler ve benzersiz PowerShell komutları için özel bir tercih vardır.
müşteriler hakkında Mandiant, dinamik siber savunma, tehdit istihbaratı ve olay müdahalesinde tanınmış bir liderdir. Siber cephede onlarca yıllık deneyimiyle Mandiant, kuruluşların siber tehditlere karşı güvenle ve proaktif bir şekilde savunma yapmasına ve saldırılara yanıt vermesine yardımcı olur. Mandiant artık Google Cloud'un bir parçasıdır.