One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8557864 |
| Date de publication | 2024-08-14 22:29:38 (vue: 2024-08-14 23:18:10) |
| Titre | FIN7: The Truth Doesn\'t Need to be so STARK |
| Texte | ## Instantané Une enquête récente de Silent Push a révélé une grande activité cyber-activité liée à FIN7, un groupe motivé financièrement.L'enquête a révélé que bon nombre de leurs domaines étaient organisés sur des infrastructures associées à Stark, ce qui a incité une action immédiate à suspendre les services impliqués. FIN7 est suivi par Microsoft comme [Sangria Tempest] (https://security.microsoft.com/intel-profiles/3e4a164ad64958b784649928499521808aea4d3565df70afc7c85eeaee69f74278). ## Description Des recherches récentes de Silent Push ont identifié plus de 4 000 domaines attribuables à FIN7 ou à d'autres acteurs de menace imitant les tactiques du groupe.Notamment, une proportion importante de ces domaines s'est avérée être hébergée sur les infrastructures attribuées à Stark.L'enquête a également révélé que les acteurs de la menace avaient probablement acheté des hôtes de l'un des revendeurs de Stark.L'analyse a en outre identifié deux grappes d'activité FIN7 potentielle, les communications entravées à l'infrastructure FIN7 à partir d'adresses IP attribuées à Post Ltd (Russie) et Smart Ape (Estonie).Les résultats ont été partagés avec Stark, conduisant à une action rapide pour suspendre les services actifs. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/en-us/defender-endpoint/web-protection-overview?ocid=Magicti_TA_LearnDoc), qui identifie et blocsDes sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites contenant des exploits et hébergent des logiciels malveillants. - Pratiquez le principe du moindre privilège et maintenez l'hygiène des diplômes.Évitez l'utilisation des comptes de service au niveau de l'administrateur à l'échelle du domaine.La restriction des privilèges administratifs locaux peut aider à limiter l'installation de chevaux de Troie (rats) à accès à distance et d'autres applications indésirables. - Utilisez un produit de gestion de la surface d'attaque d'entreprise, comme Microsoft Defender External Attack Surface Management, pour découvrir des systèmes non corrigés sur votre périmètre. - Suivez la défense contre les conseils de ransomware dans la [vue d'ensemble des menaces de ransomware de Microsoft] (https: //security.microsoft.com/thereatanalytics3/05658b6c-dc62-496d-ad3c-c6a795a33c27/analyStreport?ocid=Magicti_TA_TA2). - Allumez [Cloud-Protection livrée] (https://learn.microsoft.com/en-us/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-astivirus?ocid=magicti_ta_learndoc) dans Microsoft Defender Antivirus, ou le équivalentpour votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/en-us/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_LearnDoc) afin que le défenseur pour le point de terminaisonPeut bloquer des artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Activer [enquête et correction] (https://learn.microsoft.com/en-us/defender-endpoint/automated-investigations?ocid=magicti_ta_learndoc) en entierMode automatisé pour permettre au défenseur du point final de prendre des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.mi |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | **© 000 2024 2024** 496d access accessed accounts action active activity actors ad3c addresses administrative administrator advanced against age alert alerts all allow also analysis antivirus any ape applications apps are artifacts assigned associated attack attacker attacks attributable automated avoid based behind block blocks breach breaches browsers c6a795a33c27/analystreport can classes cloud clusters com/en com/intel com/post/fin7 com/threatanalytics3/05658b6c commands common communications contain content copyright cover creations credential criterion customers cyber cymru dc62 defender defending delivered description detect detected detection discover distribution does doesn domain domains downloaded edge edr effective enable encourage endpoint endpoint/attack endpoint/automated endpoint/configure endpoint/detect endpoint/edr endpoint/web enterprise entire equivalent estonia even evolving executable exploits extensive external files fin7 fin7: financially findings first follow following found from full further group guidance help host hosted hosts https://learn https://security https://www hygiene identified identifies immediate impact inbound including infrastructure installation instrumentation investigation investigations involved javascript lateral launching leading learndoc learndoc#block learndoc#use learning least level like likely limit linked list local ltd machine maintain majority malicious malware management many meet microsoft microsoftdefender mimicking mitigations mode motivated movement need new non not notably ocid=magicti one originating other over overview part passive perimeter permission phishing post potential potentially practice prevalence prevent principle privilege privileges process procured product profiles/3e4a164ad64958b784649928499521808aea4d3565df70afc7c85eae69f74278 prohibited prompt prompting proportion protection protections psexec pua push ransom ransomware rapidly rats recent recommendations recommends reduce reducing reduction reference references remediate remediation remote reproduction research resellers reserved resolve response restricting revealed rights rules run running russia sangria scam scenes service services settings shared sight significant significantly silent site sites smart smartscreen snapshot stage: stark stopping support surface suspend sweeping systems ta2 tactics take team techniques tempest thereof these threat threats tools tracked trojans trusted truth turn two uncovered unknown unless unpatched unwanted us/defender use used users variants vbscript volume web websites when which wide windows without wmi works written your |
| Tags | Ransomware Malware Tool Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.