Selon Picus Security, cette analyse retrace l’évolution de FIN7 (Carbon Spider, GOLD NIAGARA), groupe cybercriminel actif depuis 2013, passé des compromissions de systèmes POS à des opérations de ransomware orientées «big-game hunting» autour de 2020, avec une forte capacité d’adaptation et d’évasion.
Le groupe se distingue par des chaînes d’infection multi‑étapes et fileless utilisant PowerShell, VBScript et JavaScript, avec des indicateurs techniques tels que des motifs de ligne de commande (ex. «powershell.exe -ex bypass») et des routines d’obfuscation personnalisées insérant du code parasite. Des vecteurs d’accès initiaux incluent le spearphishing avec pièces jointes malveillantes.
FIN7 met en œuvre des techniques de vol d’identifiants comme le Kerberoasting et assure le mouvement latéral via RDP. Pour le command‑and‑control, le groupe a recours à des communications C2 via enregistrements DNS TXT. Il déploie des outils maison, notamment la porte dérobée POWERPLANT, le téléchargeur LOADOUT et le chargeur de shellcode TERMITE.
Sur le plan de l’ingénierie sociale, FIN7 a mis en place de fausses sociétés de cybersécurité (ex. Bastion Secure) pour recruter à leur insu des professionnels de la sécurité. Picus mentionne également des simulations de menaces couvrant plusieurs variantes de campagnes FIN7. 💼🦠
TTPs clés observés:
- Spearphishing avec pièces jointes malveillantes
- Exécution fileless via PowerShell/VBScript/JavaScript
- PowerShell avec contournement (ex. «-ExecutionPolicy Bypass» / «-ex bypass»)
- Obfuscation par insertion de code/junk
- Kerberoasting pour le vol de crédentiels
- Mouvement latéral via RDP
- C2 via DNS TXT
- Outils: POWERPLANT (backdoor), LOADOUT (downloader), TERMITE (loader)
- Ingénierie sociale via faux cabinets (ex. Bastion Secure)
IOCs et artefacts techniques (extraits) 🧩:
- Motif de commande: «powershell.exe -ex bypass»
- Canal C2: enregistrements DNS TXT
- Famille d’outils: POWERPLANT, LOADOUT, TERMITE
Conclusion: article de type analyse de menace, visant à profiler FIN7 et documenter ses TTPs, outils et indicateurs techniques.
🧠 TTPs et IOCs détectés
TTPs
[‘Spearphishing avec pièces jointes malveillantes’, ‘Exécution fileless via PowerShell/VBScript/JavaScript’, “PowerShell avec contournement (ex. ‘-ExecutionPolicy Bypass’ / ‘-ex bypass’)”, ‘Obfuscation par insertion de code/junk’, ‘Kerberoasting pour le vol de crédentiels’, ‘Mouvement latéral via RDP’, ‘C2 via DNS TXT’, “Utilisation d’outils : POWERPLANT (backdoor), LOADOUT (downloader), TERMITE (loader)”, ‘Ingénierie sociale via faux cabinets (ex. Bastion Secure)’]
IOCs
[“Motif de commande : ‘powershell.exe -ex bypass’”, ‘Canal C2 : enregistrements DNS TXT’]
🔗 Source originale : https://www.picussecurity.com/resource/fin7-cybercrime-group-evolution-from-pos-attacks-to-ransomware-as-a-service-raas-operations