fin7-us-automotive-2024

# FIN7 - Campanha Automotiva EUA (2023-2024) > [!medium] FIN7 Mira Setor Automotivo dos EUA com Lure de Scanner IP - 2023/2024 > Em fins de 2023, o [[g0046-fin7|FIN7 (Carbon Spider)]] foi identificado pela BlackBerry em campanha de spear-phishing contra funcionários de TI de um grande fabricante automotivo dos EUA, usando lure de ferramenta IP scanner para entregar o backdoor [[anunak|Anunak/Carbanak]] via LOLBas. ## Visão Geral Esta campanha representa a mudança do [[g0046-fin7|FIN7]] de ataques POS em massa para "big game hunting" direcionado a grandes corporações com capacidade de pagar resgates elevados. A BlackBerry identificou a operação em fins de 2023, com atribuição a FIN7 baseada em assinaturas únicas do PowerShell PowerTrash - observado em campanha FIN7 de 2022 - e infraestrutura SSH compartilhada. O vetor de ataque foi sofisticado: o FIN7 identificou funcionários de TI com privilégios administrativos elevados na empresa-alvo e enviou spear-phishing com link para `advanced-ip-sccanner[.]com` - typosquat quase imperceptível do legítimo `advanced-ip-scanner.com`. O site falso redirecionava para `myipscanner[.]com` (offline), que oferecia para download um executável malicioso `WsTaskLoad.exe` disfarçado como installer do Advanced IP Scanner legítimo. A infecção resultou em execução do [[anunak|Anunak/Carbanak]] backdoor através de cadeia de múltiplos estágios (DLL, arquivos WAV, shellcode), além de instalação de OpenSSH para acesso persistente. A detecção precoce pela BlackBerry impediu o alcance da fase de movimento lateral e presumível deploy de ransomware final. A descoberta de múltiplos domínios similares registrados no mesmo provedor confirmou que a campanha era mais ampla e não restrita à única vítima identificada, sugerindo targeting extensivo do setor automotivo. ## Attack Flow ```mermaid graph TB A["📧 Spear-phishing Funcionários TI com privilégios link advanced-ip-sccanner.com"] --> B["🌐 Typosquat redirect advanced-ip-sccanner.com → myipscanner.com → Dropbox"] B --> C["📦 WsTaskLoad.exe Disfarçado como Advanced IP Scanner legítimo"] C --> D["🔗 Cadeia multi-stage DLL + WAV + shellcode carrega dmxl.bin"] D --> E["🐍 Anunak/Carbanak Backdoor implantado + OpenSSH persistente"] E --> F["📋 Tarefas agendadas PowerTrash POWERTRASH obfuscado via shellcode"] F --> G["🚫 Detecção precoce Contido antes de movimento lateral"] ``` ## TTPs Mapeados | Técnica | ID | Descrição | |---------|----|-----------| | Spear-phishing Link | [[t1566-002-spearphishing-link\|T1566.002]] | Link para typosquat de ferramenta legítima | | Stage Capabilities: Link Target | [[t1608-005-stage-capabilities-link-target\|T1608.005]] | Domínio malicioso redirecionando a Dropbox | | User Execution | [[t1204-002-user-execution-malicious-file\|T1204.002]] | Usuário executa WsTaskLoad.exe disfarçado | | PowerShell | [[t1059-001-powershell\|T1059.001]] | PowerTrash - shellcode invoker obfuscado | | Scheduled Task | [[t1053-005-scheduled-task\|T1053.005]] | Tarefas agendadas para persistência OpenSSH | | SSH | [[t1021-004-ssh\|T1021.004]] | OpenSSH como backdoor persistente | | Defense Evasion | [[t1027-obfuscated-files-or-information\|T1027]] | Obfuscação customizada de comandos PowerShell | ## Domínios IOC Identificados ``` advanced-ip-sccanner[.]com — typosquat do scanner legítimo myipscanner[.]com — redirect intermediário (offline) arctic-west[.]com strideindustrialusa[.]com fisrdteditionps[.]com cybercloudsec[.]com — empresa de segurança falsa ``` ## Contexto: FIN7 Big Game Hunting 2023-2024 Esta campanha é parte de um padrão mais amplo de reativação do FIN7 em 2023-2024: - **2023-2024**: Campanha automotiva com lures de IP scanner - **2024 (Q1)**: Entrega de NetSupport RAT via MSIX app installers maliciosos - **2024 (Q2)**: AvNeutralizer colocado à venda em fóruns underground - **2024 (Q3)**: 4.000+ domínios shell registrados para campanhas de phishing em escala A transição para big game hunting e ransomware é motivada pela capacidade de grandes corporações de pagar resgates elevados - muito superiores ao modelo POS da era anterior. ## Detecção e Defesa **Indicadores comportamentais:** - Processos suspeitos iniciados a partir de executáveis baixados via Dropbox ou file-sharing - OpenSSH instalado em hosts corporativos sem justificativa administrativa - PowerShell com obfuscação FUCKAV ou strings numéricas únicas (padrão PowerTrash FIN7) - Tarefas agendadas executando comandos SSH com flags de port forwarding **Mitigações:** - [[m1021-restrict-web-based-content\|M1021]] - Filtros de DNS para bloquear typosquats de ferramentas populares - [[m1017-user-training\|M1017]] - Treinar TI para verificar domínios de downloads de ferramentas - [[m1049-antivirus\|M1049]] - Regras de detecção para PowerTrash e cadeia DLL+WAV - [[m1038-execution-prevention\|M1038]] - Bloqueio de execução de MSIX não assinados ## Referências - [1](https://blogs.blackberry.com/en/2024/04/fin7-targets-the-united-states-automotive-industry) BlackBerry - Threat Group FIN7 Targets the U.S. Automotive Industry (2024) - [2](https://www.bleepingcomputer.com/news/security/fin7-targets-american-automakers-it-staff-in-phishing-attacks/) BleepingComputer - FIN7 Targets Américan Automaker's IT Staff (2024) - [3](https://thehackernews.com/2024/04/fin7-cybercrime-group-targeting-us-auto.html) The Hacker News - FIN7 Cybercrime Group Targeting U.S. Auto Industry (2024) - [4](https://fticybersecurity.com/wp-content/uploads/2024/08/FTI-Cybersecurity-Threat-Intelligence-Report-Resurgence-of-Fin7.pdf) FTI Cybersecurity - Resurgence of FIN7 (2024)