- Silent Push の調査によると、FIN7 の脅威アクターは少なくとも 7 つの異なる Web サイトで新しい AI アダルト ベース ジェネレーターを使用しています。
- FIN7 が 2 つのバージョンの AI deepnude マルウェア ハニーポットを使用しているのを確認しました。1 つは簡単なダウンロードを必要とするもので、もう 1 つは高度な「無料トライアル」プロセスを備えています。
- Silent Push は、FIN7 NetSupport RAT マルバタイジング キャンペーンも追跡しています。このキャンペーンでは、引き続き別のハニーポットを使用し、「ブラウザ拡張機能が必要」というポップアップ ルアーで .MSIX マルウェアに誘導しています。
- 以前の Silent Push の調査では、スピアフィッシング メール、フィッシング キット、マルウェア キャンペーンで使用されている数千の FIN7 ドメインが特定されました。
Silent Push の脅威アナリストは、FIN7 グループ (別名 Sangria Tempest) がマルウェアおよびフィッシング攻撃で新しい戦術を使用しているのを確認しました。FIN7 は、AI アダルト ベース ジェネレーターの使用を希望する訪問者にマルウェアを提供する少なくとも 7 つの Web サイトを作成していることがわかりました。この脅威グループは、以前 Silent Push が取り上げたブラウザ拡張機能ハニーポットも引き続き使用しています。
FIN7 が無防備な従業員を誘い込んで悪意のあるファイルをダウンロードさせるため、組織が脆弱になる可能性があります。これらのファイルは、インフォスティーラーを介して認証情報を直接侵害したり、ランサムウェアを展開する後続のキャンペーンに使用されたりする可能性があります。
FIN7 は、ロシアとつながりのある金銭目的の脅威グループです。少なくとも 2013 年以降、高度なサイバー攻撃に関連しています。このグループは、小売業やテクノロジーから金融、メディア、公共事業など、幅広い業界をターゲットにしています。2024 年、FIN7 はグローバル ブランドをターゲットに範囲を拡大しました。
2024 年 7 月、Silent Push は 4,000 を超える IOFA ドメインと IP を発見しました。これは、これまでに発見された FIN7 ドメインの最大のグループであり、それ以来、エンタープライズのお客様向けに 2 倍以上に増えています。このグループが確認した攻撃は、大規模なグローバル フィッシングおよびマルウェア キャンペーンでした。
最近の Silent Push FIN7 ブログ投稿 とそれに付随する TLP Amber レポート (エンタープライズ ユーザー限定) に続き、当社の新しい調査では、このグループが複数のハニーポットを備えた AI アダルト ベースのジェネレーターを使用していることが明らかになりました。
攻撃を計画する際、FIN7 は広範囲に網を張り、個人やさまざまな業界をターゲットにして被害者を誘�い込みます。Silent Push の脅威アナリストは、FIN7 の新しい攻撃手法を追跡しています。
この記事で使用している「ハニーポット」は、従来のおとりや検出メカニズムとは対照的に、悪意のある行為者が油断している被害者を誘い込むために慎重に作成されたルアーを備えた技術的な地雷原を指します。
Silent Push の調査により、FIN7 の現在の攻撃戦略では、AI アダルト ベースのジェネレータ マルウェアと継続中の NetSupport リモート アクセス トロイの木馬 (RAT) という異なるハニーポットが使用されていることが明らかになりました。
FIN7 の NetSupport RAT マルウェアは、特定のハニーポット (主に「ブラウザ拡張機能が必要」インストール スキームなどの FIN7 マルバタイジング検索キャンペーンを通じて宣伝される Web サイト) の訪問者に配信されます。
Fin7 は、.MSIX マルウェアを配信しようとするマルバタイジング攻撃を開始しています。Silent Push のアナリストは、SAP Concur、Microsoft、Thomson Reuters、FINVIZ 株式スクリーニングなど、さまざまなブランドをターゲットにしたキャンペーンを取り上げました。
FIN7 には、必要なブラウザ拡張機能の策略を推進するアクティブな IP と、おそらく新しい Web サイトがまだあります。たとえば、SAP Concur フィッシング ページをホストしているライブ IP は次のとおりです: https://85.209.134[.]137
SAP Concur フィッシング ページをホストしている FIN7 ライブ IP の例
.MSIX ブラウザー拡張機能によって侵害された組織は、マルウェアが「ワークグループ コンピューター」を探すため、ランサムウェアの標的になる可能性があります。
Silent Push が Fin7 のマルウェアのサンプル (この場合は「LexisNexis.msix」) を取得した後、当社のアナリスト チームがその動作を詳しく調べ、次の分析結果を提供しました:
- タイプ: Zip アーカイブ ファイル
- MD5: ff25441b7631d64afefdb818cfcceec7
- 圧縮: Deflate
- 信頼できる実行可能ファイルを装うために、このマルウェアは中国の製造会社と思われる「Cangzhou Chenyue Electronic Technology」から証明書データを盗用しています
- <Identity Name=”LexisNexis” Publisher=”CN=”Cangzhou Chenyue Electronic Technology Co., Ltd.”、O=”Cangzhou Chenyue Electronic Technology Co., Ltd.”、L=Cangzhou、S=Hebei、C=CN、SERIALNUMBER=91130922MA0G8AN920、 OID.1.3.6.1.4.1.311.60.2.1.1=滄州、OID.1.3.6.1.4.1.311.60.2.1.2=河北、OID.1.3.6.1.4.1.311.60.2.1.3=CN、OID.2.5.4.15=民間組織” バージョン=”4.12.98.0″ />
“LexisNexis.msix“ を使用した FIN7 マルウェアの例
NetSupport RAT 配信チェーン
攻撃チェーンを分析すると、このマルウェアはドメインに参加しているマシンと、それらが提供するすべての企業データをターゲットにするように設計されていることがわかります。そこから、マルウェアは、ラテラルムーブメントや Active Directory へのアクセスなど、昇格された権限を取得しようとします。
- スクリプトが LexisNexis Web サイトを開くと、気をそらすため、または正当なユーザーアクティビティを模倣するために、攻撃が開始されます。
- 次に、マルウェアはマシンがドメインの一部であるか、ワークグループ内にあるかを確認します。
- マシンがワークグループ内にある場合、スクリプトは 2 つの暗号化された 7-Zip ア��ーカイブ (パスワード: 1234567890) を抽出し、実行可能な NetSupport RAT を実行します。
FIN7 NetSupport RAT LexisNexis 分析の例
抽出されたパッケージには次のものが含まれています:
- タイプ: リモート アクセス トロイの木馬
- 名前: NetSupport RAT
- C2 インフラストラクチャ: 166.88.159[.]37
- ライセンシー: MGJFFRT466
2 番目の FIN7 攻撃戦術はより洗練されており、疑いを持たない訪問者にマルウェアを提供する、成人向けテーマの AI Deepnude ジェネレーター Web サイトを使用します。
Silent Push の調査によると、このキャンペーンで使用されたマルウェアは、Cookie、パスワード、その他の詳細を取得して企業を攻撃する可能性のある、従来の情報窃盗プログラムを使用しています。FIN7 AI マルウェアは Redline Stealer と D3F@ck Loader を使用していることが判明しました。
FIN7 は、以下のサイトに加えて、「aiNude[.]ai」というブランド名で複数のマルウェア ハニーポットをホストしています。
- easynude[.]website
- ai-nude[.]cloud
- ai-nude[.]click
- ai-nude[.]pro
- nude-ai[.]pro
- ai-nude[.]adult
- ainude[.]site
これらのサイトを発見した後、Silent Push の研究者は、サイトを削除するようエスカレーションしました。現在、すべてのサイトはオフラインですが、同様のパターンに従う新しいサイトが立ち上げられる可能性が高いと考えています。
私たちのチームは、AI ディープフェイク ハニーポットが、FIN7 が古いドメイン (マルウェアを展開したり悪意のあるキャンペーンを実行するために後で変更されるサイト) に使用する「シェル ウェブサイト」上に構築されていることを発見しました。これらのファイルとページは、元のシェル コンテンツを公開します:
- /ReturnPolicy.html
- /personal-data.html
- /membership-terms.html
- /cookie-usage.html
- /contentDisclaimer.html
- /deliveryDetails.html
![easynude[.]website “return Policy” の例](https://www.silentpush.com/wp-content/uploads/4-fin7-update-easynude-return-policy-image.jpg)
easynude[.]website “return Policy” の例
![ai-nude[.]click “data Protection” ページの例](https://www.silentpush.com/wp-content/uploads/5-fin7-update-ai-nude-data-protection-image.jpg)
ai-nude[.]click “data Protection” ページの例
AIディープフェイク ハニーポットには、Facebook Audience Network と Yandex Analytics の JavaScript が含まれています。Silent Push の調査では、今のところ Facebook 広告は発見されていません。
FIN7 ディープフェイク ハニーポットの例
FIN7 は、ハニーポット Web サイトの 2 つのバージョンを作成しています。1 つ目は AI アダルト ベースのジェネレーターの「無料ダウンロード」で、2 つ目はサイト訪問者に「無料トライアル」を提供します。
![aiNude[.]ai Deepnude Generator の「無料ダウンロード」をクリックするハニーポット](https://www.silentpush.com/wp-content/uploads/7-fin7-update-click-free-download.png)
aiNude[.]ai Deepnude Generator の「無料ダウンロード」をクリックするハニーポット
このハニーポットで使用されているマルウェアは、ユーザーに最初の悪意のあるペイロードをダウンロードさせようとする単純なユーザー フローの背後にあります。
FIN7 AI ディ��ープフェイク ハニーポットは、「無料ダウンロード」オファーをクリックした疑いのないユーザーを、Dropbox リンクまたは悪意のあるペイロードをホストする別のソースを含む新しいドメインにリダイレクトします。サイレント プッシュ Web スキャナー を照会すると、このような「ファイルのダウンロード準備ができました…」という Web サイトが何百も見つかりました。これらすべてが FIN7 によってのみ使用されていると断定することはできませんが、悪意があり、同様のユーザー フローの一部である可能性が高いようです。
ステップ 1 では、ユーザーに「無料ダウンロード」リンクをクリックするように求め、ステップ 2 では、Dropbox ペイロードにリンクする trial-uploader[.]store でホストされているリンクからダウンロードするように要求します。
ステップ 2: ファイルのダウンロード準備完了
AI ディープフェイク ハニーポットには、ホームページに「無料トライアル」リンクがある ai-nude[.]pro などのドメインに固有のバージョンがあります。
![aiNude[.]ai Deepnude Generator の「無料トライアル」をクリックするとハニーポットが提供されます](https://www.silentpush.com/wp-content/uploads/9-fin7-update-ai-nude-free-trial-093024.png)
aiNude[.]ai Deepnude Generator の「無料トライアル」をクリックするとハニーポットが提供されます
サイト訪問者が「無料トライアル」ボタンをクリックすると、ユーザーに画像のアップロードが求められます。
画像がアップロードされると、次にユーザーに「トライア�ルのダウンロード準備完了」というメッセージが表示され、「科学資料へのアクセスは個人使用のみ」と表示されます。 対応するポップアップで、ユーザーは「リンクは個人使用のみに使用できます。同意しますか?」という質問に答える必要があります。
「トライアル版をダウンロードできます」というポップアップが表示される
ユーザーが同意して「ダウンロード」をクリックすると、悪意のあるペイロードを含む zip ファイルが提供されます。この別の FIN7 ペイロードは、より典型的な「Lumma Stealer」であり、実行には DLL サイドローディング手法を使用します。
ダウンロードをクリックすると、zip ファイルが表示される
すべての FIN7 AI ディープフェイク ハニーポットには、「ベスト ポルノ サイト」へのフッター リンクが含まれており、ユーザーは aipornsites[.]ai にリダイレクトされます。この Web サイトは、ドメイン「ainude[.]ai」を宣伝する Web サイトですが、現在はダウンしています。ただし、FIN7 ハニーポットで使用されている Web サイト テンプレートと同じようです。
FIN7 AI ディープフェイク ハニーポットのフッター リンク「ベスト ポルノ サイト」
![FIN7 AI ディープフェイク ハニーポットのフッターは aiNude[.]ai にリダイレクト](https://www.silentpush.com/wp-content/uploads/13-fin7-update-ai-deepnude-footer-image-093024.jpg)
FIN7 AI ディープフェイク ハニーポットのフッターは aiNude[.]ai にリダイレクト
このことから、FIN7 は SEO 戦術を使用してハニーポットを検索結果で上位にランク付けしている可能性があります。
Silent Push 脅威アナ�リストは、DeepNude ジェネレーター .EXE が一部の FIN7 サイトのホームページから直接ダウンロードできることを発見しました。このマルウェアは、複数のパッカー、Pascal コードへのマルウェアの埋め込み、Java ベースのランチャーを利用して検出を回避するなど、高度な手法を採用しています。
Deepnude ジェネレーター .EXE は、初期ペイロードのパッキングに「Inno Setup」を使用します。
InnoSetup には、Pascal コードを解析して解釈し、インストーラーに指示を提供する Pascal インタープリターが組み込まれています。さらに、PE-ID パッカー検出器は、組み込みライブラリを検証しますが、パッカーを Borland Delphi として誤って検出します。
組み込みライブラリは検証されますが、誤って検出されます
この初期「Inno Setup」ペイロード内で使用されている機能の一部は次のとおりです。
-
リモート サーバーに接続します
-
高度な文字列難読化
-
仮想環境の検出
-
実行制御
「Inno Setup」機能
「Inno Setup」文字列は、カスタム アルゴリズムを使用してエンコードされます。
Inno Setup 文字列は、カスタム アルゴリズムを使用してエンコードされます
Inno Setup 文字列の実行フローの例
コードからエンコードされたすべての文字列を抽出し、Python を使用してデコードすると、実行フローが明確にわかります。
実行フローには、SteamCommunity[.]com プロファイルの文字列が含まれます。
実行フローの例
この機能は、「v_10:= ‘i1il’;」を含む部分文字列を検索します。これは、c2 を取得するためのプレースホルダーとして使用されます。 Steam ユーザー名には、Hetzner がホストする IP アドレス「49.12.117[.]119」が含まれています
Steam ユーザー名には、Hetzner がホストする IP アドレスが含まれています
Steam で「i1il」を含むプロファイルを検索すると、このネットワークの他の C2 が見つかります:
- 78.47.105[.]28 – Hetzner
- 159.69.26[.]61 – Hetzner
調査中に見つかった以前の C2 / Steam プロファイルは次のとおりです:
- 116.203.15[.]73 – Hetzner
- 116.203.8[.]165 – Hetzner
- 116.202.0[.]236 – Hetzner
- 116.202.5[.]195 – Hetzner
- 78.47.105[.]28 – Hetzner
- 78.46.129[.]163 – Hetzner
- 88.198.89[.]4 – Hetzner
- 5.75.232[.]183 – Hetzner
Steam 検索の例
セカンダリ ペイロードは 78.47.101[.]48/manual/225/225.zip でした。 225.zip ファイルは、Java 仮想マシンと、Launch4j で記述された EXE ファイルで構成されています。
Launch4j は、Java アプリケーション (JAR ファイル) をネイティブの Windows 実行ファイル (EXE ファイル) にラップするように設計されたオープンソース ツールです。
225.exe は、@RussianPanda9xx によって D3F@ck Loader として最初に検出されました。
この FIN7 マルウェア キャンペーンでは、追加のペイロードが使用されたようです。 VirusTotal で見つかった最初のセカンダリ ペイロードは 170.exe – 7e5d91f73e89a997a7caa6b111bbd0f9788aa707ebf6b7cbe2ad2c01dffdc15d で、Redline 認証情報窃取マルウェアで、次の構成でした:
VirusTotal のアップロード日によると、D3F@ck Loader に関連する FIN7 キャンペーンは 2024 年 8 月 5 日に開始されました。彼らがターゲットにした偽装アプリケーションには次のものがあります:
- PuTTY
- Razer Gaming
- Fortinet VPN
- Fortnite ビデオ ゲーム チート
- Zoom
- Cannon
- その他の一般的なアプリケーション
「Deepnude AI ジェネレーター」Web サイトの 1 つで見つかったマルウェアは、複数のブランドをターゲットにしたキャンペーンに接続します。興味深いことに、マルウェアに感染した「Fortnite チート」もこのキャンペーンの一部であるようです。
標的のなりすましアプリケーションの例
この別の FIN7 ペイロードは、DLL サイドローディング手法を使用して実行される、より典型的な「Lumma Stealer」です。
![VirusTotal の thesiszppdsmi[.]shop の結果](https://www.silentpush.com/wp-content/uploads/24-fin7-update-no-vendors-flagged-image.png)
![VirusTotal の pang-scrooge-carnage[.]shop の結果](https://www.silentpush.com/wp-content/uploads/25-fin7-update-19-94-vendors-flagged-malicious-image.png)
このマルウェアは、2 つの C2 を使用していたことが判明しました:
- pang-scrooge-carnage[.]shop
- thesiszppdsmi[.]shop
Silent Push は引き続き追跡しますFIN7 の活動を調査し、その結果をコミュニティに報告します。
この公開ブログの情報の一部は、運用上のセキュリティのために省略されています。
また、エンタープライズ ユーザー向けに TLP Amber レポート を公開しました。このレポートには、FIN7 インフラストラクチャを特定してトラバースするために使用した特定のクエリ、ルックアッ��プ、スキャンへのリンクが含まれています。これには、運用上のセキュリティ上の理由からこのブログでは省略した独自のパラメーターも含まれます。
最初の投稿以来、Silent Push の研究者は IOFA の数が大幅に増加していることを確認しています。エンタープライズ カスタマーの場合は 2 倍以上です。FIN7 ドメインと IP を 2 つの専用 IOFA フィード にグループ化しました。
Silent Push Enterprise ユーザーは、このデータをセキュリティ スタックに取り込むことで、FIN7 インフラストラクチャをソースでブロックできます。
データは、CSV、JSON、または STIX 形式でエクスポートするか、Silent Push API を使用して自動コード スニペットとしてエクスポートできます。
Silent Push Community Edition は、さまざまな高度な攻撃および防御ルックアップ、Web コンテンツ クエリ、および FIN7 の追跡に使用した強化されたデータ タイプを備えた無料の脅威ハンティングおよびサイバー防御プラットフォームです。