Incidents associés
FIN7 (également connu sous le nom de Sangria Tempest) est un groupe de menaces à motivation financière ayant des liens avec la Russie, qui opère depuis au moins 2013 et qui était auparavant considéré comme éliminé par le DOJ.
À partir d'un seul point d'origine, les analystes de menaces de Silent Push ont découvert une vaste série de campagnes FIN7 en cours, dont plusieurs centaines de domaines et d'adresses IP de phishing, d'usurpation d'identité, de shell et de diffusion de logiciels malveillants ciblant les nombreuses organisations et produits d'entreprise.
Nous avons trouvé des milliers de domaines FIN7 parqués et, en les surveillant quotidiennement pour détecter les changements, nous avons pu trouver une infrastructure malveillante dès son lancement. L'un des leurres de diffusion de logiciels malveillants FIN7 les plus récents est utilisé dans plusieurs domaines et fait la promotion de « AI Deepfake Nude Generating Software », qui mène à D3F@ck Loader et au moins une charge utile supplémentaire.
Parmi les autres logiciels ciblés par de faux sites Web et des charges utiles malveillantes figurent 7-zip, PuTTY, ProtectedPDFViewer, AIMP, Notepad++, Advanced IP Scanner, AnyDesk, pgAdmin, AutoDesk, Bitwarden, Rest Proxy, Python, Sublime Text et Node.js.
Notre présentation mettra en évidence les méthodes actuelles utilisées par FIN7 pour cibler les entreprises avec des charges utiles de ransomware, ainsi que des détails sur les logiciels malveillants que nous avons observés dans l'infrastructure du groupe en 2024.