En 2018, la justice américaine annonce l’arrestation de plusieurs membres de FIN7 appelé également « The billion dollars hacking group ».
Ces attaquants connus également sous le nom de Carbanak était un groupe organisé visant les banques, les suites d’hôtels ou les chaînes de restaurants depuis 2015. À la suite de cette arrestation, la communauté a pensé à tort que les campagnes d’attaques s’étaient arrêtées.
En 2018-2019, plusieurs alertes analysées par Kaspersky possédaient les mêmes TTPS que FIN7, ce qui les pousse à croire que le groupe aurait en fait survécu aux arrestations de 2018.
Le mode opératoire de FIN7 consiste en plusieurs étapes :
- Reconnaissance de la cible avec du spearphishing remarquablement sophistiqué. L’instauration de véritables conversations, via de nombreux emails, jouant parfois avec les émotions des victimes (peur, stress, anxiété), et un envoi des pièces jointes malveillantes au bon moment permet une efficacité redoutable.
- Deux types de documents peuvent être envoyés à la victime. Le premier est un document Word exploitant la fonctionnalité includePicture pour obtenir des informations sur l’ordinateur de la victime.
Le second est un document Word utilisant les macros afin d’exécuter un implant Griffon permettant de faire de la reconnaissance et de la cartographie des postes de travail.
- Par la suite, l’implant télécharge plusieurs modules :
- Un module de reconnaissance
- Un téléchargeur de meterpreter : Tinymet
- Un module de capture d’écran
- Un système de persistance
- Par la suite, l’attaquant essaye de se latéraliser dans le réseau afin de trouver les ressources critiques et les exfiltrer pour en faire de la revente et du blanchiment.
Le but principal de FIN7 est de voler les éléments financiers de l’entreprise (les cartes de crédit ou données financières).
FIN7 a fait une erreur qui a permis à Kaspersky de remonter une piste. Afin de tromper les analystes FIN7 a créé une fausse redirection HTTP 302 vers divers services Google sur leurs serveurs C2s (Command and Control).
Cette erreur a permis de trouver un site étranger d’une fausse entreprise de sécurité. Cette société semble avoir servi à FIN7 pour recruter et employer différents professionnels tels que des développeurs, des pentesters ou des traducteurs, ceux-ci croyant la société légitime.
