FIN7(又名 Carbanak)是一个讲俄语、出于经济动机的威胁组织,以其多样化的策略、定制的恶意软件和隐秘的后门而闻名。4月4日,研究人员发布关于 2021 年底至 2022 年初 FIN7 运营的详细技术报告,该组织持续活跃、不断发展并尝试新的货币化方法。 FIN7 影响了一些勒索软件团伙的运营,包括REVIL、DARKSIDE、BLACKMATTER 和BlackCat/ALPHV 等。FIN7 利用多种方法对受害者网络进行初始和二次访问,包括网络钓鱼、入侵第三方系统、Atera代理安装程序、GoToAssist和 RDP。FIN7 在最近的入侵中依赖于 POWERPLANT 后门,其不同版本添加的功能和改进如下:
1月7日,美国联邦调查局(FBI)发布警报称, FIN7犯罪团伙在过去几个月中向美国国防工业的公司寄送了恶意USB设备,试图部署勒索软件。 简况FIN7犯罪团伙自2021年8月起,使用美国邮政服务(USPS) 和联合包裹服务(UPS),将恶意包裹邮寄给运输和保险行业的企业,并从2021年11月开始针对美国国防行业的公司。该团伙邮寄的包裹包含带有LilyGO标志的“BadUSB”或“Bad Beetle USB”设备,这些设备已被攻击者武器化。
FIN7是一个出于经济动机的威胁组织,主要针对金融机构、酒店、餐厅和赌博行业。据美国司法部称,FIN7 组织在美国窃取了大约1500万条支付卡记录,并在全球造成了 10 亿美元的损失。近日,研究人员发布了对FIN7组织使用的JSS Loader 和 Remcos工具的分析报告。 简况FIN7 使用鱼叉式网络钓鱼活动,通过下载或执行混淆的javascript作为第一阶段来破坏机器。首先,它将在“user\public”文件夹中创建一个合法 wmic.exe 的副本,以及一个.xsl 文件。然后 .xsl 将执行 .txt 文件扩展名中的实际恶意 javascript。该 JS 能够通过执行多个 WMI 查询命令向受感染主机收集信息。而后使用 HTTP POST 请求命令加密这些信息,并发送到其 C2 服务器。FIN7的攻击方案如下:
FIN7组织又名“Carbanak”,于2015年首次出现,是一个以经济收益为动机的威胁组织。研究人员发现,FIN7 黑客组织创建并运营了一家名为“Bastion Secure”的网络安全公司,招募不知情的 IT 专家,试图加入高利润的勒索软件领域。 简况FIN7组织伪造的安全公司名为Bastion Secure,声称可以为世界各地的私营公司和公共部门组织提供渗透测试服务。Bastion Secure名称看起来类似于以下安全公司,这些公司在谷歌搜索结果中的排名比较靠前:
2021年6月下旬至7月下旬,FIN7组织在鱼叉式网络钓鱼活动中,利用武器化Windows 11 Alpha主题Word文档,针对销售点 (PoS) 服务提供商投放恶意载荷,包括JavaScript植入程序。FIN7是一个东欧威胁组织,至少自 2015 年年中以来一直活跃,主要针对美国实体,目标是直接窃取金融信息,例如信用卡和借记卡数据。 简况FIN7组织是一个著名的金融犯罪团伙,通常发起传播恶意软件的网络钓鱼攻击,渗透系统窃取银行卡数据并出售。该团伙以休闲餐厅、赌场和酒店的 PoS 系统为目标,自 2020 年以来,还增加了勒索软件以及数据泄露攻击,使用 ZoomInfo 服务根据受害者的收入确定目标。
FIN7又名CARBON SPIDER,自 2013 年以来一直活跃,是最早开始运营的网络犯罪组织之一。2021 年 8 月 30 日,研究人员发表报告,介绍了CARBON SPIDER组织在2015年到2021年之间,攻击方式的转变、使用的工具的发展,以及研究人员将Darkside归因于CARBON SPIDER组织的原因。 简况CARBON SPIDER组织在 2015 年至 2020 年期间,针对酒店公司 POS 设备开展小规模攻击活动,使用的恶意软件包括 Sekur RAT, VB Flash, Bateleur和Harpy。攻击者使用包括PILLOWMINT在内的 POS 恶意软件收集并出售信用卡跟踪数据。
近日,研究人员发现了FIN7 组织(又名 Carbanak Group)发起的恶意邮件活动,攻击者在电子邮件中使用伪装成Brown-Forman Inc.公司的虚假法律投诉作为诱饵。 Brown-Forman 是一家位于美国的大型葡萄酒和烈酒公司,也是广受欢迎的杰克丹尼威士忌的制造商。由于律师事务所会定期处理跨行业垂直领域的法律投诉,因此很容易成为此次攻击活动的受害者。简况FIN7 是一个出于经济动机的网络犯罪组织,因从世界各地的企业窃取数百万信用卡号码而臭名昭著。该犯罪集团在 2015 年至 2018 年间从全球公司窃取了超过10 亿美元。2021 年 6 月 17 日,美国联邦法律官员提交法庭文件,称FIN7 有 70 多个成员,FIN7 领导人会将成员组织成不同的团队。这些团队的任务是创建恶意软件、制作网络钓鱼文件并从受感染的受害者那里勒索赎金。在FIN7最新的攻击活动中,所使用的基础设施和恶意软件的联系如下:
FIN7是一个以金钱为动机而行动的网络犯罪组织,其正在冒充网络安全公司分发带有Lizar后门的Windows渗透测试工具。FIN7伪装成一个合法的网络安全公司兜售安全分析工具,因此受害组织的员工甚至没有意识到他们正在使用的是恶意软件,或者他们的卖家是一个网络犯罪组织。FIN7组织使用的恶意软件一直在变化,之前它的首选工具包一直是Carbanak远程访问木马,这个木马非常复杂。但是最近,研究人员注意到该小组自2月份以来使用了一种称为Lizar的新型后门,该后门提供了一套强大的数据检索和横向移动的功能。Lizar工具箱在结构上与Carbanak相似。它由一个Loader和用于不同任务的各种插件组成。它们一起在受感染的系统上运行,并且可以组合到Lizar bot客户端中,该客户端又与远程服务器进行通信。这些插件从服务器发送到Loader
Fin7是资金雄厚,以经济利益为目标的网络犯罪组织,自2015年以来,FIN7成员参与了针对100多家美国公司的高度复杂的恶意软件活动,攻击的行业主要集中在餐馆,游戏和酒店行业。该组织独特创新的攻击技术而闻名。研究人员分析了该组织在攻击中使用的JSSLoader组件,JSSLoader是体积极小的.NET远程访问木马,具有渗透,持久性,自动更新,恶意软件下载等功能,关于JSSLoader组件的公开信息并不多,下面一个网络钓鱼为例,简单介绍JSSLoader。 在以下这个实例中,攻击者伪造成“ Natural Health Sherpa”想目标发送了一封电子邮件,其中包含要从Quickbooks支付的发票。
国外研究人员最近发现一个类似FIN7组织工具BOOSTWRITE的新负载。攻击者使用了DLL搜索顺序劫持技术,滥用合法的应用程序FaceFodUninstaller.exe加载恶意负载WinBio.dll(BIOLOAD)。加载程序针对64位的操作系统,启动时,会在%TEMP%\目录下创建一个未加密的文本日志文件,再以子进程形式启动,通过使用COM对象访问任务计划程序来建立持久性。BIOLOAD具有嵌入的加密有效负载DLL,可以使用简单的XOR解密,并根据计算机名定制解密秘钥,秘钥被嵌入在加载程序中。使用计算机名的CRC32校验和作为种子,密钥的一部分被MurmurHash3的结果覆盖,可以逃避沙箱的检测,并在相关上下文丢失时阻止研究人员分析有效负载,BIOLOAD携带的有效负载是Carbanak后门的更新版本。