【安全资讯】FIN7组织的攻击组件分析

引言

FIN7是一个出于经济动机的威胁组织，主要针对金融机构、酒店、餐厅和赌博行业。据美国司法部称，FIN7 组织在美国窃取了大约1500万条支付卡记录，并在全球造成了 10 亿美元的损失。近日，研究人员发布了对FIN7组织使用的JSS Loader 和 Remcos工具的分析报告。

简况

FIN7 使用鱼叉式网络钓鱼活动，通过下载或执行混淆的javascript作为第一阶段来破坏机器。首先，它将在“user\public”文件夹中创建一个合法 wmic.exe 的副本，以及一个.xsl 文件。然后 .xsl 将执行 .txt 文件扩展名中的实际恶意 javascript。该 JS 能够通过执行多个 WMI 查询命令向受感染主机收集信息。而后使用 HTTP POST 请求命令加密这些信息，并发送到其 C2 服务器。FIN7的攻击方案如下：

JSSLoader

FIN7使用一些二进制后门工具，从受感染主机收集数据并将其发送到其 C2 服务器。JSSloader 的一些变体编译为 .NET，而一些则编译为 C++。 与混淆的 JScript 一样，它也能够通过在“Win32_ComputerSystem”、“Win32_Product”和“Win32_Process”中使用 WMI 查询来收集数据。此外，这两种变体都可以列出受感染主机桌面上的所有文件，并将其发送到攻击者的 C2 服务器。

JSSloader 的 .net 版本中还可以运行 Windows 命令行工具，如 ipconfig.exe 和 systeminfo.exe，然后将输出传输到另一个收集和提取数据的函数。JSSloader还可以截取受感染主机的屏幕截图。图片将被保存在一个内存流中，被编码为 base64 并发送到其 C2 服务器。JSSloader还可以解析浏览器信息，如 Chrome 和 Firefox 应用程序中用户的历史记录和 URL 访问。

Remcos

Remcos远程访问木马隐蔽性高，可以有效控制受感染主机。作为一种后开发工具，remcos 在获取凭据、发现系统属性、命令执行和网络等功能方面非常有效。该工具作为远程计算机监控工具出售，具有多种功能，可以从受感染机器中获取或泄露数据。

Remcos可以解析受感染机器的计算机名称、用户名和产品信息，作为其数据收集的一部分，并了解哪台机器受到入侵。Remcos还具有录制音频并从受感染机器捕获屏幕截图、记录键盘数据以及抓取剪贴板数据的功能。

如果Remcos发现它处于虚拟机或沙箱中，则将创建并执行一个批处理文件，从而删除自身以逃避对其代码的分析。

总结

6月，美国司法部判处FIN7组织的“渗透测试员”七年监禁和 250 万美元罚款。且该团伙的三名核心人员也已被抓捕并引渡到美国。然而，法律行动并没有减缓该集团的发展。研究人员近日已发现了带有FIN7组织签名的工具，这可能意味着该组织的低调回归。