Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

FIN7 возобновила свою деятельность 

12/07/24

hack80-Jul-12-2024-10-47-18-8508-AM

В 2021 году в США объявили, что FIN7 больше не существует, после того как были вынесены приговоры ключевым участникам группы. Минюст США описывал FIN7 как криминальную организацию с более чем 70 участниками, организованными в отдельные бизнес-единицы и команды. Группа FIN7 с 2013 года нанесла ущерб организациям на сумму около 3 миллиардов долларов, пишет Securitylab.

По мнению Silent Push, в 2024 году FIN7 вернулась к активной деятельности от своего имени, создав тысячи сайтов, имитирующих различные медиа- и технологические компании. Вредоносные домены зарегистрированы крупным хостинг-провайдером Stark Industries Solutions.

Первые признаки возрождения FIN7 появились в апреле 2024 года, когда компания Blackberry сообщила о взломе крупной автомобильной компании. Атака началась с заражения пользователей, искавших популярный бесплатный инструмент для сканирования сети.

Специалисты Silent Push разработали метод для отслеживания быстрорастущей инфраструктуры FIN7, включающей более 4000 хостов. Хакеры используют различные методы: от тактики «тайпсквоттинг» и зараженной рекламы до вредоносных расширений браузера и фишинговых доменов.

Домены FIN7 нацелены на различные крупные бренды, среди которых American Express, Bitwarden, Bloomberg, CNN, Dropbox, Google, Meta*, Microsoft 365, Midjourney и другие. Многие домены выглядят как обычные сайты для различных бизнесов, часто с текстами из стандартных шаблонов. Это делается для искусственного «старения» доменов и придания им положительной репутации. На раскрутку инфраструктуры хакерам потребовалось 6-9 месяцев.

В атаках с применением метода тайпсквоттинга киберпреступники регистрируют домены, похожие на домены популярного ПО. Фишинговые домены рекламируются в Google, чтобы ссылки на них отображались в поисковых результатах выше, чем настоящие источники ПО. Программное обеспечение, которое используется в качестве приманки, включает 7-zip, PuTTY, ProtectedPDFViewer, AIMP, Notepad++, Advanced IP Scanner, AnyDesk, pgAdmin, AutoDesk, Bitwarden, Rest Proxy, Python, Sublime Text и Node.js.

9o371e65qjj41ghhevnlwtqotpyjvjkz

Silent Push обнаружила новые домены FIN7 после обращения от компании, которая подверглась атакам группы в прошлом и заподозрила, что группа снова активна. Поиск хостов выявил лишь один активный сайт, который затем привел ко множеству других ресурсов FIN7.

Раньше FIN7 действовала через подставные ИБ-компании, с помощью которых вербовали хакеров для помощи в вымогательских атаках. Так был арестован один из ключевых участников группировки, который откликнулся на вакансию компании.

Как и другие фишинговые группы, FIN7 использует текущие глобальные события. Сейчас хакеры нацелены на туристов, посещающих Олимпийские игры во Франции. Среди новых доменов FIN7 есть несколько фишинговых сайтов, которые продают поддельные билеты в Лувр.

По словам Silent Push, исследование ясно показывает, что FIN7 вернулась и быстро расширяется. В компании выразили надежду, что правоохранительные органы обратят на это внимание и примут дополнительные меры, а также что многие из конкурентов смогут использовать раскрытую информацию для расширения исследований инфраструктуры FIN7.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
Темы:СШАУгрозыFin7Silent Push
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...