【安全资讯】FIN7组织的攻击组件分析
引言
FIN7是一个出于经济动机的威胁组织,主要针对金融机构、酒店、餐厅和赌博行业。据美国司法部称,FIN7 组织在美国窃取了大约1500万条支付卡记录,并在全球造成了 10 亿美元的损失。近日,研究人员发布了对FIN7组织使用的JSS Loader 和 Remcos工具的分析报告。
简况
FIN7 使用鱼叉式网络钓鱼活动,通过下载或执行混淆的javascript作为第一阶段来破坏机器。首先,它将在“user\public”文件夹中创建一个合法 wmic.exe 的副本,以及一个.xsl 文件。然后 .xsl 将执行 .txt 文件扩展名中的实际恶意 javascript。该 JS 能够通过执行多个 WMI 查询命令向受感染主机收集信息。而后使用 HTTP POST 请求命令加密这些信息,并发送到其 C2 服务器。FIN7的攻击方案如下:
JSSLoader
FIN7使用一些二进制后门工具,从受感染主机收集数据并将其发送到其 C2 服务器。JSSloader 的一些变体编译为 .NET,而一些则编译为 C++。 与混淆的 JScript 一样,它也能够通过在“Win32_ComputerSystem”、“Win32_Product”和“Win32_Process”中使用 WMI 查询来收集数据。此外,这两种变体都可以列出受感染主机桌面上的所有文件,并将其发送到攻击者的 C2 服务器。
JSSloader 的 .net 版本中还可以运行 Windows 命令行工具,如 ipconfig.exe 和 systeminfo.exe,然后将输出传输到另一个收集和提取数据的函数。JSSloader还可以截取受感染主机的屏幕截图。图片将被保存在一个内存流中,被编码为 base64 并发送到其 C2 服务器。JSSloader还可以解析浏览器信息,如 Chrome 和 Firefox 应用程序中用户的历史记录和 URL 访问。
Remcos
Remcos远程访问木马隐蔽性高,可以有效控制受感染主机。作为一种后开发工具,remcos 在获取凭据、发现系统属性、命令执行和网络等功能方面非常有效。该工具作为远程计算机监控工具出售,具有多种功能,可以从受感染机器中获取或泄露数据。
Remcos可以解析受感染机器的计算机名称、用户名和产品信息,作为其数据收集的一部分,并了解哪台机器受到入侵。Remcos还具有录制音频并从受感染机器捕获屏幕截图、记录键盘数据以及抓取剪贴板数据的功能。
如果Remcos发现它处于虚拟机或沙箱中,则将创建并执行一个批处理文件,从而删除自身以逃避对其代码的分析。
总结
6月,美国司法部判处FIN7组织的“渗透测试员”七年监禁和 250 万美元罚款。且该团伙的三名核心人员也已被抓捕并引渡到美国。然而,法律行动并没有减缓该集团的发展。研究人员近日已发现了带有FIN7组织签名的工具,这可能意味着该组织的低调回归。