金融威胁集团

金融威胁集团(FIN)由以金融机构为目标的行为体组成。以下规则根据公开可用的信息检测FIN组的存在。

• FIN4
• FIN5
• FIN6
• FIN7
• FIN8
• FIN10

FIN4

这是一组规则，基于公开报告的与此恶意行为者相关的妥协指标的存在。

这一组的其他名字包括:狼蛛

可疑DNS请求-观察到FIN4相关域

描述

此检测标识一个请求，该请求解析一个公开已知与此特定恶意参与者关联的域。请注意，恶意行为者经常会使用被泄露的合法网站来达到恶意目的。

建议

警报可能与终端用户的正常网页浏览活动有关。检查有问题的警报。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

可疑进程- FIN4相关二进制执行

描述

此检测将识别文件的执行情况，该文件的哈希值公开已知与此特定恶意行为者相关联。请注意，恶意参与者经常会出于恶意目的使用常见的系统管理工具。

建议

检查有问题的警报。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

可疑的Web请求-观察到FIN4相关域

描述

此检测将识别到一个公开已知与此特定恶意参与者关联的域的请求。请注意，恶意行为者经常会危及合法网站，以用于恶意目的。

建议

警报可能与终端用户的正常网页浏览活动有关。检查有问题的警报。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

FIN5

这是一组规则，基于公开报告的与此恶意行为者相关的妥协指标的存在。

可疑DNS请求-观察到FIN5相关域

描述

此检测标识一个请求，该请求解析一个公开已知与此特定恶意参与者关联的域。请注意，恶意行为者经常会使用被泄露的合法网站来达到恶意目的。

建议

警报可能与终端用户的正常网页浏览活动有关。检查有问题的警报。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

可疑进程-已执行FIN5相关二进制文件

描述

此检测将识别文件的执行情况，该文件的哈希值公开已知与此特定恶意行为者相关联。请注意，恶意参与者经常会出于恶意目的使用常见的系统管理工具。

建议

检查有问题的警报。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

可疑的Web请求-观察到FIN5相关域

描述

此检测将识别到一个公开已知与此特定恶意参与者关联的域的请求。请注意，恶意行为者经常会危及合法网站，以用于恶意目的。

建议

警报可能与终端用户的正常网页浏览活动有关。检查有问题的警报。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

FIN6

这是一组规则，基于公开报告的与此恶意行为者相关的妥协指标的存在。

该组的其他名称包括:ITG08骨架蜘蛛

可疑DNS请求-发现与FIN6相关的域名

描述

此检测标识一个请求，该请求解析一个公开已知与此特定恶意参与者关联的域。请注意，恶意行为者经常会使用被泄露的合法网站来达到恶意目的。

建议

警报可能与终端用户的正常网页浏览活动有关。检查有问题的警报。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

可疑进程-已执行FIN6相关二进制文件

描述

此检测将识别文件的执行情况，该文件的哈希值公开已知与此特定恶意行为者相关联。请注意，恶意参与者经常会出于恶意目的使用常见的系统管理工具。

建议

检查有问题的警报。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

可疑的Web请求-观察到FIN6相关域

描述

此检测将识别到一个公开已知与此特定恶意参与者关联的域的请求。请注意，恶意行为者经常会危及合法网站，以用于恶意目的。

建议

警报可能与终端用户的正常网页浏览活动有关。检查有问题的警报。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

FIN7

这是一组规则，基于公开报告的与此恶意行为者相关的妥协指标的存在。

这个组的其他名字包括:Anunak碳蜘蛛

可疑DNS请求-发现与FIN7相关的域名

描述

此检测标识一个请求，该请求解析一个公开已知与此特定恶意参与者关联的域。请注意，恶意行为者经常会使用被泄露的合法网站来达到恶意目的。

建议

警报可能与终端用户的正常网页浏览活动有关。检查有问题的警报。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

可疑进程-已执行FIN7相关二进制文件

描述

此检测将识别文件的执行情况，该文件的哈希值公开已知与此特定恶意行为者相关联。请注意，恶意参与者经常会出于恶意目的使用常见的系统管理工具。

建议

检查有问题的警报。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

可疑的Web请求-发现与FIN7相关的域名

描述

此检测将识别到一个公开已知与此特定恶意参与者关联的域的请求。请注意，恶意行为者经常会危及合法网站，以用于恶意目的。

建议

警报可能与终端用户的正常网页浏览活动有关。检查有问题的警报。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

FIN8

这是一组规则，基于公开报告的与此恶意行为者相关的妥协指标的存在。

可疑DNS请求-发现与FIN8相关的域名

描述

此检测标识一个请求，该请求解析一个公开已知与此特定恶意参与者关联的域。请注意，恶意行为者经常会使用被泄露的合法网站来达到恶意目的。

建议

警报可能与终端用户的正常网页浏览活动有关。检查有问题的警报。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

可疑进程-已执行FIN8相关二进制文件

描述

此检测将识别文件的执行情况，该文件的哈希值公开已知与此特定恶意行为者相关联。请注意，恶意参与者经常会出于恶意目的使用常见的系统管理工具。

建议

检查有问题的警报。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

可疑的Web请求-观察到FIN8相关域

描述

此检测将识别到一个公开已知与此特定恶意参与者关联的域的请求。请注意，恶意行为者经常会危及合法网站，以用于恶意目的。

建议

警报可能与终端用户的正常网页浏览活动有关。检查有问题的警报。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

FIN10

这是一组规则，基于公开报告的与此恶意行为者相关的妥协指标的存在。

可疑DNS请求-发现与FIN10相关的域名

描述

此检测标识一个请求，该请求解析一个公开已知与此特定恶意参与者关联的域。请注意，恶意行为者经常会使用被泄露的合法网站来达到恶意目的。

建议

警报可能与终端用户的正常网页浏览活动有关。检查有问题的警报。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

可疑进程-已执行FIN10相关二进制文件

描述

此检测将识别文件的执行情况，该文件的哈希值公开已知与此特定恶意行为者相关联。请注意，恶意参与者经常会出于恶意目的使用常见的系统管理工具。

建议

检查有问题的警报。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

可疑的网络请求-发现与FIN10相关的域名

描述

此检测将识别到一个公开已知与此特定恶意参与者关联的域的请求。请注意，恶意行为者经常会危及合法网站，以用于恶意目的。

建议

警报可能与终端用户的正常网页浏览活动有关。检查有问题的警报。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。