FIN7として知られる金銭目的の脅威アクターが、Black Bastaなどのランサムウェアグループによって使用されていることで知られるツール「AvNeutralizer(別名AuKill)」を暗号通貨フォーラムで広告していることが観察された。このツールは、セキュリティソリューションを回避するために開発され、複数のランサムウェアグループによって使用されている。FIN7は、2012年以降、PoS端末を対象とした初期の攻撃から、REvilやContiなどの現在は機能していないランサムウェアグループのアフィリエイトとして活動し、その後自身のランサムウェア・アズ・ア・サービス(RaaS)プログラムDarkSideとBlackMatterを立ち上げるまで、持続的な脅威であった。このグループは、ペネトレーションテストの名目でソフトウェアエンジニアをランサムウェア計画に知らず知らずのうちに勧誘するために、Combi SecurityやBastion Secureなどの表向きの会社を設立している。FIN7は、大規模なフィッシングキャンペーンを実施し、数千の「シェル」ドメインを展開してランサムウェアや他のマルウェアファミリーを配信している。これらのシェルドメインは、時にはユーザーを偽のログインページに誘導する従来のリダイレクトチェーンとして使用されることもある。SentinelOneの最新の調査によると、FIN7は複数の人格を使用してサイバー犯罪フォーラムでAvNeutralizerの販売を促進しており、このツールに新しい機能を追加している。このツールは、セキュリティソリューションの機能を妨害し、検出を回避するために、Windowsに標準で存在する「ProcLaunchMon.sys」というドライバーとProcess Explorerドライバーを組み合わせて使用する。また、FIN7のCheckmarksプラットフォームは、公開アプリケーションを標的とする自動SQLインジェクション攻撃モジュールを含むように変更された。
【ニュース解説】
FIN7として知られる金銭目的のサイバー犯罪グループが、セキュリティソリューションを回避するために特化したツール「AvNeutralizer(別名AuKill)」を暗号通貨フォーラムで広告していることが報告されました。このツールは、特にBlack Bastaなどのランサムウェアグループによって使用されており、セキュリティ対策を無効化することで攻撃の成功率を高める目的があります。
FIN7は、2012年から活動しているロシアとウクライナ出身のe-crimeグループであり、初期はPoS端末を狙った攻撃から、ランサムウェアのアフィリエイトや自身のランサムウェア・アズ・ア・サービス(RaaS)プログラムを立ち上げるなど、その活動を拡大してきました。また、このグループは、ソフトウェアエンジニアをペネトレーションテストの名目でランサムウェア計画に勧誘するために、表向きの会社を設立するなど、高度な手法を用いています。
AvNeutralizerは、セキュリティソリューションの機能を妨害し、検出を回避するために、Windowsに標準で存在するドライバー「ProcLaunchMon.sys」とProcess Explorerドライバーを組み合わせて使用することが特徴です。この手法は、従来の攻撃よりもさらに高度であり、Windowsマシンにデフォルトで存在する脆弱なドライバーを悪用することで、セキュリティ対策を回避します。
このようなツールの開発と販売は、セキュリティ対策が進化し、特にエンドポイント検出対応(EDR)ソリューションが強化された現在、攻撃者にとって大きな課題となっています。そのため、AvNeutralizerのようなセキュリティ回避ツールは、ランサムウェアオペレーターをはじめとするサイバー犯罪者にとって非常に価値が高く、需要が増加しています。
FIN7の活動は、サイバーセキュリティ業界にとって重要な意味を持ちます。このグループのような犯罪組織が高度なツールを開発し、それを広く犯罪コミュニティに提供することで、サイバー攻撃の脅威がさらに高まる可能性があります。一方で、これらの活動を通じて使用される技術や手法を理解することは、セキュリティ対策を強化し、将来的な攻撃を防ぐためにも不可欠です。
また、FIN7のようなグループの動向は、サイバーセキュリティ規制や政策にも影響を与える可能性があります。セキュリティソリューションを回避するためのツールが広まることで、政府や業界団体は新たな対策や規制を検討する必要に迫られるでしょう。これにより、サイバーセキュリティの標準や規制がさらに強化され、長期的にはより安全なデジタル環境の実現に寄与することが期待されます。
from FIN7 Group Advertises Security-Bypassing Tool on Dark Web Forums.
