ブログ(脅威調査)

FIN11: ランサムウェアとデータ窃取の前触れである広範囲なEメールキャンペーン

Mandiant Threat Intelligenceは、2017年以来初めて脅威クラスターを名前付きのFIN (あるいは金銭目的の) 脅威グループに昇格させました。FIN11のさまざまなTTP(戦術、技術、手順)については、Mandiant Advantage Freeにサインアップすることで参照可能なレポートで詳述しています。

いくつかの点において、FIN11はAPT1を彷彿とさせます。精密な点ではなく、活動量が多いことが特に顕著です。FIN11のフィッシング・オペレーションには大きなギャップがありますが、アクティブな場合には、グループは1週間に最大5件の大量キャンペーンを実行します。金銭目的の脅威グループの多くは短期間に終息しますが、FIN11は少なくとも2016年からこれらの広範なフィッシング・キャンペーンを実施しています。2017年から2018年まで、脅威グループは主に金融、小売業、およびホスピタリティ分野の組織を標的としていました。しかし2019年には、FIN11のターゲットは拡大され、さまざまな分野や地域が含まれるようになりました。つまり、現時点では、FIN11がターゲットにしていないクライアントを明確にするのは困難です。

Mandiantは多数のFIN11侵入にも対応してきましたが、グループが収益化に成功したのはごくわずかな例にすぎません。これが示唆しているのは、アクターが広く網をかけるようにフィッシングを行い、業種分野、位置情報、把握したセキュリティ対策などの特性に基づいて、さらに攻撃をしかける対象を選別している可能性です。最近、FIN11はCLOPランサムウェアを展開し、被害者に身代金要求に従うよう促すために盗み出されたデータを公開すると脅迫しました。このグループの収益化方法の変化 ― 2018年のPOS(Point-of-Sale) マルウェアから、2019年のランサムウェアへの変化、そして2020年のハイブリッドな脅迫へ ― は、犯罪グループが侵害後のランサムウェアの展開とデータ窃取による脅迫にますます焦点を当てている傾向の一部です。

特にFIN11は、セキュリティ研究者がTA505と呼ぶ活動のサブセットを含みますが、我々は、TA505の初期のオペレーションをFIN11とは関連付けておらず、名前を同じ意味で使用することには注意が必要であると考えています。過去のTA505活動と最近のFIN11活動両方のアトリビューションは、攻撃アクターが犯罪サービス・プロバイダーを使用することによって複雑化しています。多くの金銭目的のアクターと同様に、FIN11は単独では活動しません。この脅威グループは、匿名ドメイン登録、防弾ホスティング、コード署名証明書、プライベートまたはセミプライベート・マルウェアを提供するサービスを使用していると考えています。これらの犯罪サービス・プロバイダーに業務を外部委託することで、FIN11はオペレーションの規模と高度化をさらに高めることができる可能性があります。

FIN11の進化する戦術、サービスの利用、侵害後のTTP、収益化手法についての詳細は、Mandiant Advantage Portalにて公開しています。レポートにアクセスするには、Mandiant Advantage Freeに登録してください。

 

本ブログは機械翻訳(MT)を使用して翻訳しています。原文と翻訳版の意味、文言が異なる場合は原文を有効とします。

原文:October 14, 2020 「FIN11: Widespread Email Campaigns as Precursor for Ransomware and Data Theft