FIN7はAPTグループです。
2015年頃から活動が観測されており、さまざまな活動を展開してきます。
対象とする業界も選択する手法も多岐にわたる活動が確認されていますが、それらはいずれも政治的目的や思想的な目的というよりも金銭目的の活動となっています。
これまでFIN7は自分たちが脅威活動を実現するために様々なツールを作成してきました。
これは当初は自分たちが使用するために作っているものと考えられていましたが、どうやらそれだけではないらしいことが分かってきました。
- AvNeutralizer
これはセキュリティソフトウェアを強制終了するために使用されるツールです。
FIN7の活動で使用されていることが確認されているだけでなく、他の脅威アクターの活動でも使用されていることが確認されています。
たとえばBlackBastaの活動でも使われていました。
当時これはFIN7とBlackBastaになんらかの関係性があるということなのではないかと予想されていました。
しかし調査の結果、ロシア語圏のハッカーフォーラムでさまざまなアカウントがAvNeutralizerの亜種を販売していることが分かりました。
もしかしたら当時予想されたFIN7とBlackBastaというのも、単にツールの提供があったということだけなのかもしれません。
FIN7の生み出している攻撃に使用できるツールはAvNeutralizerだけではありません。
Powertrash (PowerShellバックドア)、Diceloader (軽量のC2制御バックドア)、Core Impact (侵入テストツールキット)、SSHベースのバックドアなど、いくつも確認されています。
これらがすべて同じように攻撃に使用されるだけでなく販売されるようになってしまうとどうなるでしょう。
マルウェアそのものを自分で開発しない犯罪者予備軍がこういったツールを入手してしまうことにより、誰でも苦労することなく高度で対策の容易でない攻撃を展開することができるようになってしまうかもしれません。
FIN7自身も自分たちが侵入行為を直接行うよりは検挙される可能性を下げることができるということになっているようにも思えます。
脅威アクター側の環境はどんどん整ってきています。
FIN7 Reboot | Cybercrime Gang Enhances Ops with New EDR Bypasses and Automated Attacks
https://www.sentinelone.com/labs/fin7-reboot-cybercrime-gang-enhances-ops-with-new-edr-bypasses-and-automated-attacks/
| この記事をシェア |
|
|---|
