Группа FIN7, также известная под названиями Carbon Spider и GOLD NIAGARA, представляет собой одну из наиболее адаптивных и технически подкованных киберпреступных организаций, чья деятельность прослеживается с 2013 года. Основной мотив группы всегда оставался финансовым - получение максимальной прибыли при минимальных рисках. За более чем десятилетнюю историю FIN7 неоднократно меняла тактику и бизнес-модель, демонстрируя исключительную гибкость в ответ на изменения в ландшафте кибербезопасности.
Описание
На начальном этапе своей деятельности FIN7 специализировалась на масштабных атаках на POS-системы (Point-of-Sale, точки продаж) с целью хищения данных платежных карт. Группа целенаправленно атаковала рестораны, финансовые учреждения и гостиничные сети в США, где преобладали транзакции с физическим предъявлением карт. Эти кампании характеризовались широким охватом и сбором информации с тысяч инфицированных терминалов, с последующей продажей данных на подпольных рынках.
Отличительной чертой FIN7 всегда была техническая изощренность. Группа активно использовала многоэтапные цепочки заражения и методы безфайлового выполнения кода, что значительно затрудняло обнаружение и проведение криминалистического анализа. Вместо традиционных резидентных нагрузок FIN7 применяла скрипты PowerShell, JavaScript и VBScript для загрузки и выполнения кода непосредственно в памяти, минимизируя артефакты на компрометированных системах.
Примерно к 2020 году произошла стратегическая переориентация группы - от массовых атак на POS-терминалы FIN7 перешла к целенаправленному преследованию крупных организаций с высокой платежеспособностью, что в индустрии безопасности известно как "охота на крупную дичь". В рамках этой новой стратегии группа активно внедрилась в экосистему Ransomware-as-a-Service (RaaS, программа-вымогатель как услуга), предлагая свои вредоносные (malicious) инструменты другим преступным группам.
Особенностью операционной модели FIN7 стало создание фиктивных компаний кибербезопасности, наиболее известными из которых являются Combi Security и Bastion Secure. Эти организации служили прикрытием для вербовки легитимных специалистов по безопасности, включая пентестеров. Наемные сотрудники часто не подозревали о криминальной сущности своей работы, разрабатывая инструменты и проводя оценки, которые впоследствии использовались в преступных кампаниях.
В феврале 2017 года FIN7 провела целевую фишинг-кампанию против сотрудников компаний, участвующих в подаче документов в Комиссию по ценным бумагам и биржам США (SEC). Злоумышленники использовали поддельный адрес отправителя EDGAR filings@sec.gov и вредоносный документ с названием "Important_Changes_to_Form10_K.doc".
Знаковым событием стало объявление Министерством юстиции США 1 августа 2018 года о предъявлении обвинений трем высокопоставленным участникам FIN7, что пролило свет на внутреннюю структуру и масштабы деятельности группы. К 2020 году FIN7 полностью переключилась на атаки с программами-вымогателями (ransomware) против крупных предприятий.
В октябре 2021 года исследователи раскрыли схему использования FIN7 компании-прикрытия "Bastion Secure" для найма легитимных специалистов. Еще более изощренной тактикой стала рассылка вредоносных USB-устройств, о которой Федеральное бюро расследований (FBI) предупредило в январе 2022 года. Группа рассылала устройства, выдавая себя за Amazon и Министерство здравоохранения и социальных служб США.
С технической точки зрения, FIN7 демонстрирует высокий уровень профессионализма в использовании тактик, техник и процедур (TTP), отраженных в матрице MITRE ATT&CK. Для первоначального доступа группа использует компрометацию цепочки поставок и целевой фишинг с вредоносными вложениями. В качестве скриптового интерпретатора преимущественно применяется PowerShell с параметрами обхода политики выполнения, часто запускаемый через оболочки cmd.exe.
Группа активно использует методы обфускации, включая кастомные механизмы сокрытия команд и вставку мусорного кода. В одном из случаев разработчики Loadout-загрузчика внедрили в код строку "FUCKAV" для обхода улучшенных сигнатур антивирусного обнаружения. Для доступа к учетным данным FIN7 применяет технику Kerberoasting, извлекая хэши учетных записей служб в формате HashCat.
В процессе разведки группа использует команды для определения текущих пользователей системы и членства в доменных группах, таких как "Domain Admins". Для выполнения кода через системные бинарные файлы применяется Rundll32, а для перемещения по сети - компрометированные учетные данные Remote Desktop Protocol (RDP).
Действия FIN7 представляют серьезную угрозу для организаций по всему миру. Эволюция группы от целевых атак на POS-системы к сложной модели Ransomware-as-a-Service демонстрирует тенденцию к профессиональization киберпреступности. Использование легитимных инструментов, сложных методов обфускации и социальной инженерии делает обнаружение и предотвращение атак FIN7 особенно сложной задачей для служб безопасности.
Организациям рекомендуется уделять особое внимание мониторингу активности PowerShell, проверке целостности цепочек поставок программного обеспечения и повышению осведомленности сотрудников о современных фишинговых техниках. Понимание тактик, применяемых группами типа FIN7, является ключевым элементом построения эффективной защиты от современных киберугроз.
Индикаторы компрометации
MD5
- 012e7b4d6b5cb8d46771852c66c71d6d
- 485b2a920f3b5ae7cfad93a4120ec20d
