FIN8: эволюция угроз APT и современные методы обхода защиты

FIN8: эволюция финансово мотивированной APT-группы и современные методы атак

FIN8 — это финансово мотивированная APT-группа, активно функционирующая с 2016 года. За прошедшее время группа значительно изменила свои тактики и инструментарий: от начального фокуса на взломах торговых точек (POS) до использования сложного арсенала модульного вредоносного ПО и вымогательства.

История и основные направления деятельности

Первые этапы активности FIN8 были связаны с атакой на POS-терминалы, однако с годами их стратегии стали более масштабными и разнообразными. В настоящий момент их главные инструменты включают:

• Sardonic (также известный как Ragnar Loader) — многомодульный бэкдор, обеспечивающий загрузку и управление плагинами;
• Exocet — инструмент для повышения привилегий и обхода средств защиты;
• Обфусцированные версии Mimikatz — для кражи учетных данных;
• Использование встроенных в Windows инструментов, таких как Windows Management Instrumentation (WMI), для скрытого поддержания доступа.

Методы внедрения и обхода обнаружения

FIN8 отличается высокой скрытностью и гибкостью в условиях целевых сред. Их подходы включают:

• Внедрение зашифрованного шеллкода непосредственно в доверенные процессы;
• Применение технологий выполнения PowerShell без использования файлов (fileless execution), что минимизирует следы на диске и затрудняет обнаружение;
• Использование подписок на события WMI для скрытого и автоматического запуска полезной нагрузки;
• Внедрение кода через очереди APC Early Bird, позволяющее выполнить вредоносный код до начала работы легитимного процесса;
• Манипуляции с токенами для незаметного повышения прав доступа без традиционных эксплойтов;
• Использование зашифрованных полезных нагрузок для снижения видимости и устойчивости к защите конечных точек.

Стратегия и тактическое совершенствование

Группа придерживается стратегического терпения, тщательно совершенствуя свои методы и инструменты. Они внимательно анализируют эффективность своих кампаний и делают паузы для обновления инфраструктуры. Например, Sardonic был переписан на C для снижения вероятности обнаружения, что отражает акцент FIN8 на уклончивом и адаптивном воздействии, а не на прямом проникновении.

Особое внимание уделяется двойным операциям с вымогательством, включая сотрудничество с группами BlackCat / ALPHV и White Rabbit. Такой подход сочетает в себе сбор данных и последующее развертывание программ-вымогателей, увеличивая финансовый ущерб.

Профилактика и защита

Для проверки готовности к атакам подобных FIN8 используется платформа Picus, которая моделирует техники, методы и процедуры (TTP) группы. Это позволяет:

• Эмулировать выполнение кода без использования файлов и внедрение в память;
• Определять уязвимости в системах защиты;
• Повышать уровень осведомленности и оперативности реакции специалистов по кибербезопасности.

Угрозы от FIN8 представляют серьезную опасность для организаций, требуя внедрения комплексных, адаптивных систем безопасности и постоянного мониторинга событий.

FIN8 — это пример современного киберпреступного коллектива, способного не только эффективно обходить защиту, но и изменять свою тактику в ответ на меры противодействия, оставаясь одним из наиболее опасных игроков на поле APT.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.