FIN7（又名 Carbanak）是一个讲俄语、出于经济动机的威胁组织，以其多样化的策略、定制的恶意软件和隐秘的后门而闻名。4月4日，研究人员发布关于 2021 年底至 2022 年初 FIN7 运营的详细技术报告，该组织持续活跃、不断发展并尝试新的货币化方法。 FIN7 影响了一些勒索软件团伙的运营，包括REVIL、DARKSIDE、BLACKMATTER 和BlackCat/ALPHV 等。FIN7 利用多种方法对受害者网络进行初始和二次访问，包括网络钓鱼、入侵第三方系统、Atera代理安装程序、GoToAssist和 RDP。FIN7 在最近的入侵中依赖于 POWERPLANT 后门，其不同版本添加的功能和改进如下：

1月7日，美国联邦调查局(FBI)发布警报称， FIN7犯罪团伙在过去几个月中向美国国防工业的公司寄送了恶意USB设备，试图部署勒索软件。 简况FIN7犯罪团伙自2021年8月起，使用美国邮政服务(USPS) 和联合包裹服务(UPS)，将恶意包裹邮寄给运输和保险行业的企业，并从2021年11月开始针对美国国防行业的公司。该团伙邮寄的包裹包含带有LilyGO标志的“BadUSB”或“Bad Beetle USB”设备，这些设备已被攻击者武器化。

FIN7是一个出于经济动机的威胁组织，主要针对金融机构、酒店、餐厅和赌博行业。据美国司法部称，FIN7 组织在美国窃取了大约1500万条支付卡记录，并在全球造成了 10 亿美元的损失。近日，研究人员发布了对FIN7组织使用的JSS Loader 和 Remcos工具的分析报告。 简况FIN7 使用鱼叉式网络钓鱼活动，通过下载或执行混淆的javascript作为第一阶段来破坏机器。首先，它将在“user\public”文件夹中创建一个合法 wmic.exe 的副本，以及一个.xsl 文件。然后 .xsl 将执行 .txt 文件扩展名中的实际恶意 javascript。该 JS 能够通过执行多个 WMI 查询命令向受感染主机收集信息。而后使用 HTTP POST 请求命令加密这些信息，并发送到其 C2 服务器。FIN7的攻击方案如下：

FIN7组织又名“Carbanak”，于2015年首次出现，是一个以经济收益为动机的威胁组织。研究人员发现，FIN7 黑客组织创建并运营了一家名为“Bastion Secure”的网络安全公司，招募不知情的 IT 专家，试图加入高利润的勒索软件领域。 简况FIN7组织伪造的安全公司名为Bastion Secure，声称可以为世界各地的私营公司和公共部门组织提供渗透测试服务。Bastion Secure名称看起来类似于以下安全公司，这些公司在谷歌搜索结果中的排名比较靠前：

2021年6月下旬至7月下旬，FIN7组织在鱼叉式网络钓鱼活动中，利用武器化Windows 11 Alpha主题Word文档，针对销售点 (PoS) 服务提供商投放恶意载荷，包括JavaScript植入程序。FIN7是一个东欧威胁组织，至少自 2015 年年中以来一直活跃，主要针对美国实体，目标是直接窃取金融信息，例如信用卡和借记卡数据。 简况FIN7组织是一个著名的金融犯罪团伙，通常发起传播恶意软件的网络钓鱼攻击，渗透系统窃取银行卡数据并出售。该团伙以休闲餐厅、赌场和酒店的 PoS 系统为目标，自 2020 年以来，还增加了勒索软件以及数据泄露攻击，使用 ZoomInfo 服务根据受害者的收入确定目标。

FIN7又名CARBON SPIDER，自 2013 年以来一直活跃，是最早开始运营的网络犯罪组织之一。2021 年 8 月 30 日，研究人员发表报告，介绍了CARBON SPIDER组织在2015年到2021年之间，攻击方式的转变、使用的工具的发展，以及研究人员将Darkside归因于CARBON SPIDER组织的原因。 简况CARBON SPIDER组织在 2015 年至 2020 年期间，针对酒店公司 POS 设备开展小规模攻击活动，使用的恶意软件包括 Sekur RAT, VB Flash, Bateleur和Harpy。攻击者使用包括PILLOWMINT在内的 POS 恶意软件收集并出售信用卡跟踪数据。

近日，研究人员发现了FIN7 组织（又名 Carbanak Group）发起的恶意邮件活动，攻击者在电子邮件中使用伪装成Brown-Forman Inc.公司的虚假法律投诉作为诱饵。 Brown-Forman 是一家位于美国的大型葡萄酒和烈酒公司，也是广受欢迎的杰克丹尼威士忌的制造商。由于律师事务所会定期处理跨行业垂直领域的法律投诉，因此很容易成为此次攻击活动的受害者。简况FIN7 是一个出于经济动机的网络犯罪组织，因从世界各地的企业窃取数百万信用卡号码而臭名昭著。该犯罪集团在 2015 年至 2018 年间从全球公司窃取了超过10 亿美元。2021 年 6 月 17 日，美国联邦法律官员提交法庭文件，称FIN7 有 70 多个成员，FIN7 领导人会将成员组织成不同的团队。这些团队的任务是创建恶意软件、制作网络钓鱼文件并从受感染的受害者那里勒索赎金。在FIN7最新的攻击活动中，所使用的基础设施和恶意软件的联系如下：

FIN7是一个以金钱为动机而行动的网络犯罪组织，其正在冒充网络安全公司分发带有Lizar后门的Windows渗透测试工具。FIN7伪装成一个合法的网络安全公司兜售安全分析工具，因此受害组织的员工甚至没有意识到他们正在使用的是恶意软件，或者他们的卖家是一个网络犯罪组织。FIN7组织使用的恶意软件一直在变化，之前它的首选工具包一直是Carbanak远程访问木马，这个木马非常复杂。但是最近，研究人员注意到该小组自2月份以来使用了一种称为Lizar的新型后门，该后门提供了一套强大的数据检索和横向移动的功能。Lizar工具箱在结构上与Carbanak相似。它由一个Loader和用于不同任务的各种插件组成。它们一起在受感染的系统上运行，并且可以组合到Lizar bot客户端中，该客户端又与远程服务器进行通信。这些插件从服务器发送到Loader

Fin7是资金雄厚，以经济利益为目标的网络犯罪组织，自2015年以来，FIN7成员参与了针对100多家美国公司的高度复杂的恶意软件活动，攻击的行业主要集中在餐馆，游戏和酒店行业。该组织独特创新的攻击技术而闻名。研究人员分析了该组织在攻击中使用的JSSLoader组件，JSSLoader是体积极小的.NET远程访问木马，具有渗透，持久性，自动更新，恶意软件下载等功能，关于JSSLoader组件的公开信息并不多，下面一个网络钓鱼为例，简单介绍JSSLoader。 在以下这个实例中，攻击者伪造成“ Natural Health Sherpa”想目标发送了一封电子邮件，其中包含要从Quickbooks支付的发票。

国外研究人员最近发现一个类似FIN7组织工具BOOSTWRITE的新负载。攻击者使用了DLL搜索顺序劫持技术，滥用合法的应用程序FaceFodUninstaller.exe加载恶意负载WinBio.dll(BIOLOAD)。加载程序针对64位的操作系统，启动时，会在%TEMP%\目录下创建一个未加密的文本日志文件，再以子进程形式启动，通过使用COM对象访问任务计划程序来建立持久性。BIOLOAD具有嵌入的加密有效负载DLL，可以使用简单的XOR解密，并根据计算机名定制解密秘钥，秘钥被嵌入在加载程序中。使用计算机名的CRC32校验和作为种子，密钥的一部分被MurmurHash3的结果覆盖，可以逃避沙箱的检测，并在相关上下文丢失时阻止研究人员分析有效负载，BIOLOAD携带的有效负载是Carbanak后门的更新版本。