独自ツールを販売するFIN7

FIN7はAPTグループです。
2015年頃から活動が観測されており、さまざまな活動を展開してきます。
対象とする業界も選択する手法も多岐にわたる活動が確認されていますが、それらはいずれも政治的目的や思想的な目的というよりも金銭目的の活動となっています。
これまでFIN7は自分たちが脅威活動を実現するために様々なツールを作成してきました。
これは当初は自分たちが使用するために作っているものと考えられていましたが、どうやらそれだけではないらしいことが分かってきました。

  • AvNeutralizer
    これはセキュリティソフトウェアを強制終了するために使用されるツールです。
    FIN7の活動で使用されていることが確認されているだけでなく、他の脅威アクターの活動でも使用されていることが確認されています。
    たとえばBlackBastaの活動でも使われていました。
    当時これはFIN7とBlackBastaになんらかの関係性があるということなのではないかと予想されていました。
    しかし調査の結果、ロシア語圏のハッカーフォーラムでさまざまなアカウントがAvNeutralizerの亜種を販売していることが分かりました。
    もしかしたら当時予想されたFIN7とBlackBastaというのも、単にツールの提供があったということだけなのかもしれません。

FIN7の生み出している攻撃に使用できるツールはAvNeutralizerだけではありません。
Powertrash (PowerShellバックドア)、Diceloader (軽量のC2制御バックドア)、Core Impact (侵入テストツールキット)、SSHベースのバックドアなど、いくつも確認されています。
これらがすべて同じように攻撃に使用されるだけでなく販売されるようになってしまうとどうなるでしょう。

マルウェアそのものを自分で開発しない犯罪者予備軍がこういったツールを入手してしまうことにより、誰でも苦労することなく高度で対策の容易でない攻撃を展開することができるようになってしまうかもしれません。
FIN7自身も自分たちが侵入行為を直接行うよりは検挙される可能性を下げることができるということになっているようにも思えます。

脅威アクター側の環境はどんどん整ってきています。

FIN7 Reboot | Cybercrime Gang Enhances Ops with New EDR Bypasses and Automated Attacks
https://www.sentinelone.com/labs/fin7-reboot-cybercrime-gang-enhances-ops-with-new-edr-bypasses-and-automated-attacks/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。