Black Basta 勒索软件于 2022 年 4 月出现,并在 2022 年 9 月之前入侵了90多个组织。研究人员推测,该勒索组织极有可能与FIN7团伙存在联系。BlackBasta勒索组织使用了自定义的工具,研究人员认为其中一些EDR规避工具的开发人员很可能是(或曾经是)FIN7组织中的开发人员。此外,FIN7在2022年初的网络攻击活动中使用的IP地址和特定的TTP,在几个月后的BlackBasta勒索攻击活动中同样被使用。
FIN7是一个具有俄语背景出于非法经济犯罪目的的黑客组织,自2013年活跃至今,其主要攻击目标为欧美地区的金融、零售、酒店等行业。近期监测发现,今年7月下旬开始,FIN7对某目标发起多次鱼叉邮件攻击,攻击活动有如下特点:1. 鱼叉邮件投递攻击诱饵为发票申请相关,xlsx诱饵由攻击样本释放,多起攻击事件中使用的诱饵完全一致,疑似使用相同模板生成的泛化攻击样本。2. 原始攻击样本均为xll文件类型(Excel扩展插件),且针对攻击目标主机环境为装有32位office excel的64位Windows操作系统。核心载荷为内存C++ JssLoader木马。
FIN7(又名 Carbanak)是一个讲俄语、出于经济动机的威胁组织,以其多样化的策略、定制的恶意软件和隐秘的后门而闻名。4月4日,研究人员发布关于 2021 年底至 2022 年初 FIN7 运营的详细技术报告,该组织持续活跃、不断发展并尝试新的货币化方法。 FIN7 影响了一些勒索软件团伙的运营,包括REVIL、DARKSIDE、BLACKMATTER 和BlackCat/ALPHV 等。FIN7 利用多种方法对受害者网络进行初始和二次访问,包括网络钓鱼、入侵第三方系统、Atera代理安装程序、GoToAssist和 RDP。FIN7 在最近的入侵中依赖于 POWERPLANT 后门,其不同版本添加的功能和改进如下:
1月7日,美国联邦调查局(FBI)发布警报称, FIN7犯罪团伙在过去几个月中向美国国防工业的公司寄送了恶意USB设备,试图部署勒索软件。 简况FIN7犯罪团伙自2021年8月起,使用美国邮政服务(USPS) 和联合包裹服务(UPS),将恶意包裹邮寄给运输和保险行业的企业,并从2021年11月开始针对美国国防行业的公司。该团伙邮寄的包裹包含带有LilyGO标志的“BadUSB”或“Bad Beetle USB”设备,这些设备已被攻击者武器化。
FIN7是一个出于经济动机的威胁组织,主要针对金融机构、酒店、餐厅和赌博行业。据美国司法部称,FIN7 组织在美国窃取了大约1500万条支付卡记录,并在全球造成了 10 亿美元的损失。近日,研究人员发布了对FIN7组织使用的JSS Loader 和 Remcos工具的分析报告。 简况FIN7 使用鱼叉式网络钓鱼活动,通过下载或执行混淆的javascript作为第一阶段来破坏机器。首先,它将在“user\public”文件夹中创建一个合法 wmic.exe 的副本,以及一个.xsl 文件。然后 .xsl 将执行 .txt 文件扩展名中的实际恶意 javascript。该 JS 能够通过执行多个 WMI 查询命令向受感染主机收集信息。而后使用 HTTP POST 请求命令加密这些信息,并发送到其 C2 服务器。FIN7的攻击方案如下:
FIN7组织又名“Carbanak”,于2015年首次出现,是一个以经济收益为动机的威胁组织。研究人员发现,FIN7 黑客组织创建并运营了一家名为“Bastion Secure”的网络安全公司,招募不知情的 IT 专家,试图加入高利润的勒索软件领域。 简况FIN7组织伪造的安全公司名为Bastion Secure,声称可以为世界各地的私营公司和公共部门组织提供渗透测试服务。Bastion Secure名称看起来类似于以下安全公司,这些公司在谷歌搜索结果中的排名比较靠前:
2021年6月下旬至7月下旬,FIN7组织在鱼叉式网络钓鱼活动中,利用武器化Windows 11 Alpha主题Word文档,针对销售点 (PoS) 服务提供商投放恶意载荷,包括JavaScript植入程序。FIN7是一个东欧威胁组织,至少自 2015 年年中以来一直活跃,主要针对美国实体,目标是直接窃取金融信息,例如信用卡和借记卡数据。 简况FIN7组织是一个著名的金融犯罪团伙,通常发起传播恶意软件的网络钓鱼攻击,渗透系统窃取银行卡数据并出售。该团伙以休闲餐厅、赌场和酒店的 PoS 系统为目标,自 2020 年以来,还增加了勒索软件以及数据泄露攻击,使用 ZoomInfo 服务根据受害者的收入确定目标。
FIN7又名CARBON SPIDER,自 2013 年以来一直活跃,是最早开始运营的网络犯罪组织之一。2021 年 8 月 30 日,研究人员发表报告,介绍了CARBON SPIDER组织在2015年到2021年之间,攻击方式的转变、使用的工具的发展,以及研究人员将Darkside归因于CARBON SPIDER组织的原因。 简况CARBON SPIDER组织在 2015 年至 2020 年期间,针对酒店公司 POS 设备开展小规模攻击活动,使用的恶意软件包括 Sekur RAT, VB Flash, Bateleur和Harpy。攻击者使用包括PILLOWMINT在内的 POS 恶意软件收集并出售信用卡跟踪数据。
近日,研究人员发现了FIN7 组织(又名 Carbanak Group)发起的恶意邮件活动,攻击者在电子邮件中使用伪装成Brown-Forman Inc.公司的虚假法律投诉作为诱饵。 Brown-Forman 是一家位于美国的大型葡萄酒和烈酒公司,也是广受欢迎的杰克丹尼威士忌的制造商。由于律师事务所会定期处理跨行业垂直领域的法律投诉,因此很容易成为此次攻击活动的受害者。简况FIN7 是一个出于经济动机的网络犯罪组织,因从世界各地的企业窃取数百万信用卡号码而臭名昭著。该犯罪集团在 2015 年至 2018 年间从全球公司窃取了超过10 亿美元。2021 年 6 月 17 日,美国联邦法律官员提交法庭文件,称FIN7 有 70 多个成员,FIN7 领导人会将成员组织成不同的团队。这些团队的任务是创建恶意软件、制作网络钓鱼文件并从受感染的受害者那里勒索赎金。在FIN7最新的攻击活动中,所使用的基础设施和恶意软件的联系如下:
FIN7是一个以金钱为动机而行动的网络犯罪组织,其正在冒充网络安全公司分发带有Lizar后门的Windows渗透测试工具。FIN7伪装成一个合法的网络安全公司兜售安全分析工具,因此受害组织的员工甚至没有意识到他们正在使用的是恶意软件,或者他们的卖家是一个网络犯罪组织。FIN7组织使用的恶意软件一直在变化,之前它的首选工具包一直是Carbanak远程访问木马,这个木马非常复杂。但是最近,研究人员注意到该小组自2月份以来使用了一种称为Lizar的新型后门,该后门提供了一套强大的数据检索和横向移动的功能。Lizar工具箱在结构上与Carbanak相似。它由一个Loader和用于不同任务的各种插件组成。它们一起在受感染的系统上运行,并且可以组合到Lizar bot客户端中,该客户端又与远程服务器进行通信。这些插件从服务器发送到Loader