Mandiant Threat Intelligence は最近、2017 年以来初めて、脅威クラスターを名前付きの FIN (または金銭目的の) 脅威グループに昇格させました。Mandiant Advantage Freeにサインアップすることで現在入手できるレポートで、FIN11 のさまざまな戦術、手法、および手順を詳しく説明しています。 .
いくつかの点で、FIN11 は APT1 を連想させます。彼らは洗練されていることではなく、活動量が非常に多いことで注目に値します。 FIN11 のフィッシング活動には大きなギャップがありますが、アクティブな場合、グループは週に最大 5 つの大規模なキャンペーンを実施します。金銭目的の脅威グループの多くは短命ですが、FIN11 は少なくとも 2016 年からこれらの広範なフィッシング キャンペーンを実施しています。2017 年から 2018 年にかけて、この脅威グループは主に金融、小売、ホスピタリティ セクターの組織を標的にしました。しかし、2019 年には FIN11 のターゲットが拡大し、さまざまなセクターや地域が含まれるようになりました。現時点で、FIN11 がターゲットとしていないクライアントを特定することは困難です。
Mandiant は多数の FIN11 侵入にも対応してきましたが、このグループがアクセスの収益化に成功した例はごくわずかです。これは、攻撃者がフィッシング活動中に広範囲の網を張り、セクター、位置情報、認識されているセキュリティ体制などの特性に基づいて、さらに悪用する被害者を選択したことを示唆している可能性があります。最近、FIN11 は CLOP ランサムウェアを展開し、抽出したデータを公開して被害者に身代金要求を支払うよう圧力をかけると脅迫しました。 2018 年の販売時点管理 (POS) マルウェアから、2019 年のランサムウェア、2020 年のハイブリッド恐喝へと、このグループの収益化方法が変化していることは、犯罪者が侵害後のランサムウェアの展開にますます注目するようになっている大きな傾向の一部です。データ窃盗強要。
特に、FIN11 には、 セキュリティ研究者が TA505 と呼ぶアクティビティのサブセットが含まれていますが、TA505 の初期の操作を FIN11 に帰することはなく、名前を同じ意味で使用しないように注意してください。過去の TA505 活動と最近の FIN11 活動の帰属は、攻撃者が犯罪サービス プロバイダーを利用しているため、複雑になっています。ほとんどの金銭的動機を持つアクターと同様に、FIN11 は孤立した状態で運営されているわけではありません。このグループは、匿名ドメイン登録、防弾ホスティング、コード署名証明書、およびプライベートまたはセミプライベート マルウェアを提供するサービスを使用していると考えられます。これらの犯罪サービス プロバイダーに業務をアウトソーシングすることで、FIN11 は業務の規模と洗練度を高めることができる可能性があります。
FIN11 の進化する配信戦術、サービスの使用、侵害後の TTP、収益化方法の詳細については、 Mandiant Advantage Freeに登録してください。完全な FIN11 レポートは、 FireEye Intelligence Portal (FIP)からも入手できます。さらに詳しい情報については、 10 月 29 日の独占ウェビナーに登録してください。このウェビナーでは、Mandiant の脅威インテリジェンスの専門家が、その起源、戦術、将来の活動の可能性など、FIN11 をより深く掘り下げます。
参照: https://www.mandiant.com/resources/blog/fin11-email-campaigns-precursor-for-ransomware-data-theft
Comments