FIN7

Técnicas (MITRE ATT&CK)67

FonteMITRE ATT&CK

Também conhecido como:GOLD NIAGARAITG14Carbon SpiderELBRUSSangria Tempest

Análise Vexday

FIN7 (também conhecido como GOLD NIAGARA, ITG14, Carbon Spider, ELBRUS e Sangria Tempest) é um grupo de ameaça com motivação financeira ativo desde 2013, classificado como APT sob o identificador G0046 no MITRE ATT&CK. O grupo atuou historicamente contra setores como varejo, restaurantes, hotelaria, serviços financeiros, saúde, farmacêutico e utilidades nos Estados Unidos, utilizando malware de ponto de venda e operando parcialmente por meio de uma empresa de fachada chamada Combi Security. A partir de 2020, o FIN7 migrou para operações de "big game hunting", adotando o ransomware REvil e desenvolvendo seu próprio modelo de Ransomware-as-a-Service, o Darkside. O grupo possui 67 técnicas documentadas no MITRE ATT&CK e está associado à exploração de 5 CVEs conhecidas.

Técnicas (MITRE ATT&CK) 67

Como o grupo opera, mapeado pela matriz MITRE ATT&CK e organizado pelas fases de um ataque.

Reconhecimento

Gather Victim Org Information Identify Roles

Preparação de recursos

Domains Web Services Malware Tool Upload Malware Drive-by Target Link Target

Acesso inicial

Exploit Public-Facing Application Compromise Software Supply Chain Spearphishing Attachment Spearphishing Link

Execução

Windows Management Instrumentation Scheduled Task Command and Scripting Interpreter PowerShell Windows Command Shell Visual Basic JavaScript Malicious Link Malicious File Dynamic Data Exchange Service Execution Input Injection

Persistência

Windows Service Registry Run Keys / Startup Folder

Escalada de privilégio

Application Shimming

Acesso a credenciais

Kerberoasting

Descoberta

System Owner/User Discovery Process Discovery Domain Groups System Information Discovery Domain Account System Time Discovery

Movimento lateral

Remote Desktop Protocol SSH VNC Replication Through Removable Media Exploitation of Remote Services

Coleta

Data from Local System Screen Capture Video Capture

Comando e controle

Fallback Channels DNS Bidirectional Communication Ingress Tool Transfer Remote Access Tools Non-Standard Port Protocol Tunneling

Exfiltração

Exfiltration to Cloud Storage

Impacto

Data Encrypted for Impact

defense-impairment

Code Signing Disable or Modify System Firewall

stealth

Command Obfuscation Junk Code Insertion Masquerade Task or Service Match Legitimate Resource Name or Location Valid Accounts Local Accounts Deobfuscate/Decode Files or Information Mshta Rundll32 User Activity Based Checks Hidden Files and Directories Hidden Window Reflective Code Loading

Vulnerabilidades exploradas 5

CVEs que este grupo é conhecido por explorar, segundo o MITRE ATT&CK. Ordenadas por gravidade real.

CVE-2014-7169CRITICALEPSS 100%KEV CVE-2021-31207MEDIUMEPSS 100%KEV CVE-2020-1472MEDIUMEPSS 100%KEV CVE-2016-6662EPSS 68%CVE-2017-0176EPSS 46%

O grupo FIN7 usa técnicas e explora falhas reais. O Pentest Autônomo com IA da TrueHacking simula esses ataques na sua infraestrutura e traz mais segurança para sua aplicação.

Conhecer o Pentest Autônomo com IA →