One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8542291 |
| Date de publication | 2024-07-22 20:20:43 (vue: 2024-07-22 21:07:54) |
| Titre | Fin7 Reboot |Le gang de cybercriminaux améliore les OP avec de nouveaux contournements EDR et des attaques automatisées FIN7 Reboot | Cybercrime Gang Enhances Ops with New EDR Bypasses and Automated Attacks |
| Texte | ## Instantané Sentinélone a récemment découvert des développements importants concernant le célèbre gang de cybercriminalité FIN7.Le groupe, connu pour ses opérations sophistiquées, a amélioré ses capacités avec de nouvelles techniques de contournement de détection et de réponse (EDR) et de méthodes d'attaque automatisées.Cette évolution souligne la menace continue de Fin7 \\ pour la cybersécurité. Microsoft suit cet acteur de menace comme Sangria Tempest, [en savoir plus ici.] (Https://security.microsoft.com/intel-profiles/3e4a164ad64958b784649928499521808aea4d3565df70afc7c85eae69f74278) ## Description FIN7 est actif depuis au moins 2015, ciblant principalement les institutions financières par le biais de logiciels malveillants de point de vente (POS) et de campagnes de phisces de lance.Récemment, le groupe s'est concentré sur les ransomwares, liant à divers gangs de ransomware, notamment Maze, Ryuk et Darkside. Une révélation pivot de Sentinélone est la connexion entre Fin7 et le [Black Basta] (https://security.microsoft.com/intel-profiles/0146164ed5ffa131074fa7e985f79597d2522865baaa088f25cd80c3d8d726) Ransomware.Black Basta, qui a émergé en avril 2022, a déployé des outils d'évasion EDR personnalisés développés par FIN7.Cette connexion a été établie par la découverte d'adresses IP et de tactiques, de techniques et de procédures (TTP). Un outil notable identifié est «Windefcheck.exe», qui imite l'interface graphique de sécurité Windows, les utilisateurs trompeurs en pensant à leurs systèmes sont sécurisés tout en désactivant les défenses de sécurité en arrière-plan.Cet outil est exclusivement utilisé par Black Basta depuis la mi-2022, mettant en évidence le chevauchement opérationnel entre les deux groupes. De plus, Black Basta a utilisé des techniques sophistiquées telles que l'exploitation des vulnérabilités chez les moteurs légitimes pour échapper à la détection.Par exemple, ils ont utilisé l'exploit de printnightmare et des outils comme AdFind pour l'escalade des privilèges et le mouvement latéral dans les réseaux. Le lien entre Fin7 et Black Basta suggère une collaboration plus profonde ou des ressources partagées, en particulier dans le développement d'outils d'évasion.Ce partenariat améliore la menace posée par ces groupes, car ils peuvent combiner leur expertise pour lancer des cyberattaques plus efficaces et dommageables. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: win64 / diCeloader] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win64/diceloader.km!mtb) - [BEhavior: Win32 / Basta] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-description?name = comportement: win32 / basta.a) - [Hacktool: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-senceclopedia-description? name = hacktool: win64 / cobaltstrike) - [Ransom: win32 / basta] (htTPS: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description? name = ransom: win32 / basta) - [Trojan: Win32 / Basta] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win32/basta!bv) - [Comportement: win32 / cobaltsstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=behavior:win32/cobaltstrike) - [Backdoor: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=backDoor:win64/CobalTstrike) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (HTTps: //learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen? ocid = magicti_ta_learndoc), qui identifie et bloque des sites Web mal |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | **© 2015 2022 2024 2024** about accessed action active actor additionally addresses adfind alert alerts all antivirus any april are arrived artifacts attack attacker attackers attacks attacks/ automated backdoor:win64/cobaltstrike background based basta been behavior:win32/basta behavior:win32/cobaltstrike behind being between black block blocks breach breaches browser browsers bypass bypasses campaigns can capabilities changes clicking cloud collaboration com/en com/intel com/labs/fin7 combine components connection connections contain content copyright cover custom cyberattacks cybercrime cybersecurity damaging darkside deeper defender defenses delivered deployed description detect detected detection detections/hunting detects developed development developments disabling discovery distribution doesn domain domains drivers edge edr educate effective emerged employed enable encourage encyclopedia endpoint endpoint/automated endpoint/configure endpoint/edr endpoint/enable endpoint/prevent enhanced enhances equivalent escalation established evade evasion even evolution evolving example exclusively exe expected expertise exploit exploiting exploits explorer/articles/003295ff features fin7 financial first focused following from full gang gangs group groups gui hacktool:win64/cobaltstrike has have here highlighting host https://learn https://security https://www identified identifies immediate impact including installed institutions investigation investigations its known labs lateral launch learndoc learning least legitimate let like link linking machine malicious malvertising malware malware: maze methods microsoft mid mimics misleading mitigations mode more most movement mtb name=backdoor:win64/cobaltstrike name=behavior:win32/basta name=behavior:win32/cobaltstrike name=hacktool:win64/cobaltstrike name=ransom:win32/basta name=trojan:win32/basta name=trojan:win64/diceloader navigator network networks new non notable notorious ocid=magicti one ongoing operational operations ops osint other overlap part particularly partnership passive permission phishing pivotal point pos posed post prevent primarily printnightmare privilege procedures product profiles/0146164ed5ffa131074fa7e985f779597d2522865baa088f25cd80c3bed8d726 profiles/3e4a164ad64958b784649928499521808aea4d3565df70afc7c85eae69f74278 prohibited protection protections published publisher queries ransom:win32/basta ransomware rapidly read reboot recent recently recommendations recommends reduce reducing references regarding remediate remediation reproduction reserved resolve resources response results revelation rights run running ryuk sale sangria scam scenes search secure security sentinel sentinelone services settings shared sight significant significantly since site sites smartscreen snapshot software sophisticated spear stopping such suggests support systems tactics take tamper targeting techniques tempest them thereof these thinking threat through tool tools tracks trends trojan:win32/basta trojan:win64/diceloader ttps turn two uncovered underscores unknown upon url us/defender us/deployedge/microsoft us/wdsi/threats/malware use used users validate variants various verify view=o365 volume vulnerabilities web websites when which windefcheck windows within without works worldwide&ocid=magicti written your |
| Tags | Ransomware Malware Tool Vulnerability Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.