FIN 威胁组织
FIN 威胁组织 是什么?
FIN 威胁组织Mandiant 命名体系下的财务驱动型威胁组织,主要针对支付系统、零售、酒旅及金融机构发起入侵。
Mandiant(现为 Google Threat Intelligence)使用 FIN 前缀标识以经济利益为主要动机的跟踪集群,与代表间谍活动的 APT 相对。典型例子包括 FIN6(针对 POS 银行卡数据,后参与勒索软件部署)、FIN7(长期 carding 与 BEC 团伙,2018 年被美国公开起诉,演变为 Carbanak/Carbon Spider)、FIN8(主攻酒旅与零售 POS,后成为 Ragnar Locker 附属者)、FIN11(Cl0p 泄露站点运营者,2023 年 MOVEit 大规模事件)以及 FIN12(顶级勒索软件部署者之一)。各集群通过工具链、攻击链痕迹、诱饵主题、基础设施以及加密变现模式相互区分。部分 FIN 后期与国家利益重合,分析师在满足升格条件前会保留原编号。
● 示例
- 01
FIN7 成员于 2018 年被美国司法部起诉,涉及数千万美元的银行卡欺诈。
- 02
FIN11 被认为是 2023 年 Cl0p 利用 MOVEit Transfer 0day 进行大规模勒索事件的幕后操作者。
● 常见问题
FIN 威胁组织 是什么?
Mandiant 命名体系下的财务驱动型威胁组织,主要针对支付系统、零售、酒旅及金融机构发起入侵。 它属于网络安全的 防御与运营 分类。
FIN 威胁组织 是什么意思?
Mandiant 命名体系下的财务驱动型威胁组织,主要针对支付系统、零售、酒旅及金融机构发起入侵。
FIN 威胁组织 是如何工作的?
Mandiant(现为 Google Threat Intelligence)使用 FIN 前缀标识以经济利益为主要动机的跟踪集群,与代表间谍活动的 APT 相对。典型例子包括 FIN6(针对 POS 银行卡数据,后参与勒索软件部署)、FIN7(长期 carding 与 BEC 团伙,2018 年被美国公开起诉,演变为 Carbanak/Carbon Spider)、FIN8(主攻酒旅与零售 POS,后成为 Ragnar Locker 附属者)、FIN11(Cl0p 泄露站点运营者,2023 年 MOVEit 大规模事件)以及 FIN12(顶级勒索软件部署者之一)。各集群通过工具链、攻击链痕迹、诱饵主题、基础设施以及加密变现模式相互区分。部分 FIN 后期与国家利益重合,分析师在满足升格条件前会保留原编号。
如何防御 FIN 威胁组织?
针对 FIN 威胁组织 的防御通常结合技术控制与运营实践,详见上方完整定义。
FIN 威胁组织 还有哪些其他名称?
常见的别称包括: FIN 集群。
● 相关术语
- defense-ops№ 057
APT 组织
拥有命名并被持续跟踪的威胁组织(通常受国家支持),对特定组织或行业发起有针对性、长期且资源充足的入侵活动。
- defense-ops№ 1191
UNC 集群(未分类)
Mandiant 用于跟踪一组相关入侵的代号,其行为者、动机或支持者尚未足以确认,无法升格为 APT 或 FIN。
- defense-ops№ 901
勒索软件团伙
以经济利益为动机的网络犯罪团伙,开发、运营或分发勒索软件,通过加密文件与数据泄露威胁勒索组织。
- defense-ops№ 1145
威胁行为者
通过网络行动有意造成或试图造成对信息系统、组织或个人伤害的个人或组织。
- defense-ops№ 1148
威胁情报
关于威胁与威胁行为者的、基于证据的知识——包含指标、TTP 和背景——用于指导安全决策与检测。
- defense-ops№ 1131
战术、技术与过程(TTPs)
对威胁行为者运作方式的分层描述:战术(为什么)、技术(怎么做)、过程(具体实现)。