Black Basta 勒索软件于 2022 年 4 月出现，并在 2022 年 9 月之前入侵了90多个组织。研究人员推测，该勒索组织极有可能与FIN7团伙存在联系。BlackBasta勒索组织使用了自定义的工具，研究人员认为其中一些EDR规避工具的开发人员很可能是（或曾经是）FIN7组织中的开发人员。此外，FIN7在2022年初的网络攻击活动中使用的IP地址和特定的TTP，在几个月后的BlackBasta勒索攻击活动中同样被使用。

FIN7是一个具有俄语背景出于非法经济犯罪目的的黑客组织，自2013年活跃至今，其主要攻击目标为欧美地区的金融、零售、酒店等行业。近期监测发现，今年7月下旬开始，FIN7对某目标发起多次鱼叉邮件攻击，攻击活动有如下特点：1. 鱼叉邮件投递攻击诱饵为发票申请相关，xlsx诱饵由攻击样本释放，多起攻击事件中使用的诱饵完全一致，疑似使用相同模板生成的泛化攻击样本。2. 原始攻击样本均为xll文件类型（Excel扩展插件），且针对攻击目标主机环境为装有32位office excel的64位Windows操作系统。核心载荷为内存C++ JssLoader木马。

FIN7（又名 Carbanak）是一个讲俄语、出于经济动机的威胁组织，以其多样化的策略、定制的恶意软件和隐秘的后门而闻名。4月4日，研究人员发布关于 2021 年底至 2022 年初 FIN7 运营的详细技术报告，该组织持续活跃、不断发展并尝试新的货币化方法。 FIN7 影响了一些勒索软件团伙的运营，包括REVIL、DARKSIDE、BLACKMATTER 和BlackCat/ALPHV 等。FIN7 利用多种方法对受害者网络进行初始和二次访问，包括网络钓鱼、入侵第三方系统、Atera代理安装程序、GoToAssist和 RDP。FIN7 在最近的入侵中依赖于 POWERPLANT 后门，其不同版本添加的功能和改进如下：

1月7日，美国联邦调查局(FBI)发布警报称， FIN7犯罪团伙在过去几个月中向美国国防工业的公司寄送了恶意USB设备，试图部署勒索软件。 简况FIN7犯罪团伙自2021年8月起，使用美国邮政服务(USPS) 和联合包裹服务(UPS)，将恶意包裹邮寄给运输和保险行业的企业，并从2021年11月开始针对美国国防行业的公司。该团伙邮寄的包裹包含带有LilyGO标志的“BadUSB”或“Bad Beetle USB”设备，这些设备已被攻击者武器化。

FIN7是一个出于经济动机的威胁组织，主要针对金融机构、酒店、餐厅和赌博行业。据美国司法部称，FIN7 组织在美国窃取了大约1500万条支付卡记录，并在全球造成了 10 亿美元的损失。近日，研究人员发布了对FIN7组织使用的JSS Loader 和 Remcos工具的分析报告。 简况FIN7 使用鱼叉式网络钓鱼活动，通过下载或执行混淆的javascript作为第一阶段来破坏机器。首先，它将在“user\public”文件夹中创建一个合法 wmic.exe 的副本，以及一个.xsl 文件。然后 .xsl 将执行 .txt 文件扩展名中的实际恶意 javascript。该 JS 能够通过执行多个 WMI 查询命令向受感染主机收集信息。而后使用 HTTP POST 请求命令加密这些信息，并发送到其 C2 服务器。FIN7的攻击方案如下：

FIN7组织又名“Carbanak”，于2015年首次出现，是一个以经济收益为动机的威胁组织。研究人员发现，FIN7 黑客组织创建并运营了一家名为“Bastion Secure”的网络安全公司，招募不知情的 IT 专家，试图加入高利润的勒索软件领域。 简况FIN7组织伪造的安全公司名为Bastion Secure，声称可以为世界各地的私营公司和公共部门组织提供渗透测试服务。Bastion Secure名称看起来类似于以下安全公司，这些公司在谷歌搜索结果中的排名比较靠前：

2021年6月下旬至7月下旬，FIN7组织在鱼叉式网络钓鱼活动中，利用武器化Windows 11 Alpha主题Word文档，针对销售点 (PoS) 服务提供商投放恶意载荷，包括JavaScript植入程序。FIN7是一个东欧威胁组织，至少自 2015 年年中以来一直活跃，主要针对美国实体，目标是直接窃取金融信息，例如信用卡和借记卡数据。 简况FIN7组织是一个著名的金融犯罪团伙，通常发起传播恶意软件的网络钓鱼攻击，渗透系统窃取银行卡数据并出售。该团伙以休闲餐厅、赌场和酒店的 PoS 系统为目标，自 2020 年以来，还增加了勒索软件以及数据泄露攻击，使用 ZoomInfo 服务根据受害者的收入确定目标。

FIN7又名CARBON SPIDER，自 2013 年以来一直活跃，是最早开始运营的网络犯罪组织之一。2021 年 8 月 30 日，研究人员发表报告，介绍了CARBON SPIDER组织在2015年到2021年之间，攻击方式的转变、使用的工具的发展，以及研究人员将Darkside归因于CARBON SPIDER组织的原因。 简况CARBON SPIDER组织在 2015 年至 2020 年期间，针对酒店公司 POS 设备开展小规模攻击活动，使用的恶意软件包括 Sekur RAT, VB Flash, Bateleur和Harpy。攻击者使用包括PILLOWMINT在内的 POS 恶意软件收集并出售信用卡跟踪数据。

近日，研究人员发现了FIN7 组织（又名 Carbanak Group）发起的恶意邮件活动，攻击者在电子邮件中使用伪装成Brown-Forman Inc.公司的虚假法律投诉作为诱饵。 Brown-Forman 是一家位于美国的大型葡萄酒和烈酒公司，也是广受欢迎的杰克丹尼威士忌的制造商。由于律师事务所会定期处理跨行业垂直领域的法律投诉，因此很容易成为此次攻击活动的受害者。简况FIN7 是一个出于经济动机的网络犯罪组织，因从世界各地的企业窃取数百万信用卡号码而臭名昭著。该犯罪集团在 2015 年至 2018 年间从全球公司窃取了超过10 亿美元。2021 年 6 月 17 日，美国联邦法律官员提交法庭文件，称FIN7 有 70 多个成员，FIN7 领导人会将成员组织成不同的团队。这些团队的任务是创建恶意软件、制作网络钓鱼文件并从受感染的受害者那里勒索赎金。在FIN7最新的攻击活动中，所使用的基础设施和恶意软件的联系如下：

FIN7是一个以金钱为动机而行动的网络犯罪组织，其正在冒充网络安全公司分发带有Lizar后门的Windows渗透测试工具。FIN7伪装成一个合法的网络安全公司兜售安全分析工具，因此受害组织的员工甚至没有意识到他们正在使用的是恶意软件，或者他们的卖家是一个网络犯罪组织。FIN7组织使用的恶意软件一直在变化，之前它的首选工具包一直是Carbanak远程访问木马，这个木马非常复杂。但是最近，研究人员注意到该小组自2月份以来使用了一种称为Lizar的新型后门，该后门提供了一套强大的数据检索和横向移动的功能。Lizar工具箱在结构上与Carbanak相似。它由一个Loader和用于不同任务的各种插件组成。它们一起在受感染的系统上运行，并且可以组合到Lizar bot客户端中，该客户端又与远程服务器进行通信。这些插件从服务器发送到Loader