【安全资讯】FIN7组织利用Windows 11 Alpha主题文档攻击POS服务提供商
引言
2021年6月下旬至7月下旬,FIN7组织在鱼叉式网络钓鱼活动中,利用武器化Windows 11 Alpha主题Word文档,针对销售点 (PoS) 服务提供商投放恶意载荷,包括JavaScript植入程序。FIN7是一个东欧威胁组织,至少自 2015 年年中以来一直活跃,主要针对美国实体,目标是直接窃取金融信息,例如信用卡和借记卡数据。
简况
FIN7组织是一个著名的金融犯罪团伙,通常发起传播恶意软件的网络钓鱼攻击,渗透系统窃取银行卡数据并出售。该团伙以休闲餐厅、赌场和酒店的 PoS 系统为目标,自 2020 年以来,还增加了勒索软件以及数据泄露攻击,使用 ZoomInfo 服务根据受害者的收入确定目标。
研究人员发现了FIN7组织传播的六个恶意文档,所有文档都引用了“Windows 11 Alpha”主题,传播媒介是网络钓鱼活动。Microsoft Word恶意文档中包含一个据称是使用 Windows 11 Alpha制作的诱饵图像,该图像敦促用户启用宏以触发下一阶段的活动,启用或编辑内容后,将执行 VBA 宏,从 .doc 文件内的隐藏表中获取编码值,并使用 XOR 密钥对其进行解密。这将创建一个对目标执行各种检查的脚本。以 Windows 11 为主题的图像如下图:
该脚本首先检查目标系统的语言。如果检测到俄语、乌克兰语或其他东欧语言时,脚本将终止。VB脚本还会检查它是否在虚拟环境下运行,以确保它没有在沙箱环境中进行分析,如果找到,将终止感染链。在检测语言、环境之后,该脚本会将一个名为“word_data.js”的 JavaScript 文件放入 TEMP 文件夹中,反混淆后可以发现,这是 FIN7组织自 2018 年以来一直在使用的 JavaScript 后门。FIN7组织可以利用该后门进一步渗透受害者的机器以窃取数据并执行横向移动的侦察。
总结
FIN7组织在此次攻击中使用 Word 文档针对下一版本的 Windows 提供 JavaScript 后门,主要目标是美国销售点 (PoS) 服务提供商。该组织以通过多种技术和攻击面窃取大量敏感数据而闻名,尽管受到了高调的逮捕和判刑,但该组织仍在活跃地发起攻击活动。