FIN7

Técnicas (MITRE ATT&CK)67

FuenteMITRE ATT&CK

También conocido como:GOLD NIAGARAITG14Carbon SpiderELBRUSSangria Tempest

Análisis Vexday

FIN7 (também conhecido como GOLD NIAGARA, ITG14, Carbon Spider, ELBRUS e Sangria Tempest) é um grupo de ameaça com motivação financeira ativo desde 2013, classificado como APT sob o identificador G0046 no MITRE ATT&CK. O grupo atuou historicamente contra setores como varejo, restaurantes, hotelaria, serviços financeiros, saúde, farmacêutico e utilidades nos Estados Unidos, utilizando malware de ponto de venda e operando parcialmente por meio de uma empresa de fachada chamada Combi Security. A partir de 2020, o FIN7 migrou para operações de "big game hunting", adotando o ransomware REvil e desenvolvendo seu próprio modelo de Ransomware-as-a-Service, o Darkside. O grupo possui 67 técnicas documentadas no MITRE ATT&CK e está associado à exploração de 5 CVEs conhecidas.

Técnicas (MITRE ATT&CK) 67

Cómo opera el grupo, mapeado por la matriz MITRE ATT&CK y organizado por las fases de un ataque.

Reconocimiento

Gather Victim Org Information Identify Roles

Preparación de recursos

Domains Web Services Malware Tool Upload Malware Drive-by Target Link Target

Acceso inicial

Exploit Public-Facing Application Compromise Software Supply Chain Spearphishing Attachment Spearphishing Link

Ejecución

Windows Management Instrumentation Scheduled Task Command and Scripting Interpreter PowerShell Windows Command Shell Visual Basic JavaScript Malicious Link Malicious File Dynamic Data Exchange Service Execution Input Injection

Persistencia

Windows Service Registry Run Keys / Startup Folder

Escalada de privilegios

Application Shimming

Acceso a credenciales

Kerberoasting

Descubrimiento

System Owner/User Discovery Process Discovery Domain Groups System Information Discovery Domain Account System Time Discovery

Movimiento lateral

Remote Desktop Protocol SSH VNC Replication Through Removable Media Exploitation of Remote Services

Recolección

Data from Local System Screen Capture Video Capture

Comando y control

Fallback Channels DNS Bidirectional Communication Ingress Tool Transfer Remote Access Tools Non-Standard Port Protocol Tunneling

Exfiltración

Exfiltration to Cloud Storage

Impacto

Data Encrypted for Impact

defense-impairment

Code Signing Disable or Modify System Firewall

stealth

Command Obfuscation Junk Code Insertion Masquerade Task or Service Match Legitimate Resource Name or Location Valid Accounts Local Accounts Deobfuscate/Decode Files or Information Mshta Rundll32 User Activity Based Checks Hidden Files and Directories Hidden Window Reflective Code Loading

Vulnerabilidades explotadas 5

CVEs que este grupo es conocido por explotar, según MITRE ATT&CK. Ordenadas por gravedad real.

CVE-2014-7169CRITICALEPSS 100%KEV CVE-2021-31207MEDIUMEPSS 100%KEV CVE-2020-1472MEDIUMEPSS 100%KEV CVE-2016-6662EPSS 68%CVE-2017-0176EPSS 46%

El grupo FIN7 usa técnicas y explota fallas reales. El Pentest Autónomo con IA de TrueHacking simula esos ataques en tu infraestructura y aporta más seguridad a tu aplicación.

Conocer el Pentest Autónomo con IA →