FIN7這個(gè)金融網(wǎng)絡(luò)犯罪團(tuán)伙又回來了���,他們利用以新版本的Windows為主題的Word文檔進(jìn)行攻擊�,其中還附加了惡意的javascript腳本��。
安全人員觀察到該團(tuán)伙在最近的一次攻擊活動(dòng)中�����,利用了六個(gè)不同的文件�����,都提到了 Windows 11 Alph這個(gè)微軟即將推出的Windows 11操作系統(tǒng)的內(nèi)部預(yù)覽版本�����。
6月下旬�,Windows 11 Alpha被發(fā)布到了該計(jì)算機(jī)巨頭的開發(fā)者渠道中,它在技術(shù)人員中引起了很大的轟動(dòng)��,因?yàn)樗峁┝薟indows11預(yù)覽版����。同時(shí)����,官方在今年秋季才會(huì)正式推出Windows 11正式版。
FIN7的攻擊者們希望利用這一點(diǎn)�����,通過電子郵件將該主題的文件提供給位于加州的銷售點(diǎn)供應(yīng)商Clearmind以及其他目標(biāo)��,所有的這些文件都帶有惡意的Visual Basic(VBA)宏���。
FIN7的最新攻擊布局
感染鏈?zhǔn)菑囊粋€(gè)帶有誘惑性圖像的微軟Word文檔開始的�����,它告訴讀者它是用Windows 11 Alpha制作的���,該圖片中的內(nèi)容要求用戶啟用編輯以查看更多內(nèi)容�����。
一旦編輯被啟用�����,就會(huì)執(zhí)行一個(gè)VBA宏��,從.doc文件內(nèi)的一個(gè)隱藏表格中獲取編碼值���,并用一個(gè)XOR鍵對(duì)其進(jìn)行解密。同時(shí)將創(chuàng)建一個(gè)腳本��,對(duì)目標(biāo)進(jìn)行各種信息的檢查��。
它首先檢查目標(biāo)系統(tǒng)的語言��,如果發(fā)現(xiàn)是俄語�、烏克蘭語或其他任何的東歐語言,腳本將終止運(yùn)行���。
該腳本還會(huì)檢查是否存在虛擬機(jī)����,以確保它沒有在沙盒環(huán)境中被運(yùn)行分析,如果發(fā)現(xiàn)了���,將終止文件的運(yùn)行�����。然后����,它會(huì)查看目標(biāo)是否在銷售點(diǎn)(PoS)服務(wù)提供商的域名clearmind.com上�����。如果是��,它將繼續(xù)進(jìn)行檢查���。
Clearmind域名這個(gè)攻擊目標(biāo)很符合FIN7的操作方式。作為一家位于加州的零售和酒店業(yè)PoS技術(shù)供應(yīng)商���,如果感染成功了��,那么該集團(tuán)將會(huì)獲得大量的支付卡數(shù)據(jù)�����,隨后在地下市場上出售這些信息����。
研究人員指出,如果這個(gè)檢查結(jié)果符合攻擊條件�����,該腳本會(huì)將一個(gè)名為 "word_data.js "的JavaScript文件丟入TEMP文件夾�����,該文件一旦被解析運(yùn)行����,它就會(huì)變成FIN7的JavaScript后門,該組織自2018年以來就一直在采用該技術(shù)���。從那里��,F(xiàn)IN7就可以進(jìn)一步滲透到受害者的機(jī)器中��,竊取數(shù)據(jù)并進(jìn)行網(wǎng)絡(luò)偵察���,然后進(jìn)行橫向移動(dòng)�����。
FIN7的攻擊沒有放緩的跡象
FIN7(又名Carbanak Group或Navigator Group)是一個(gè)著名的威脅攻擊組織��,至少從2015年開始就一直在作案��。該團(tuán)伙通常會(huì)使用帶有惡意軟件的網(wǎng)絡(luò)釣魚文件攻擊受害者�,然后滲透到系統(tǒng)中�����,竊取銀行卡數(shù)據(jù)并進(jìn)行出售�。該團(tuán)伙一直在調(diào)整新的惡意軟件庫����,它同時(shí)還針對(duì)休閑餐廳、賭場和酒店的PoS系統(tǒng)進(jìn)行攻擊�����。自2020年以來,該團(tuán)伙還增加了勒索軟件和數(shù)據(jù)泄露攻擊��,利用ZoomInfo服務(wù)來根據(jù)收入情況選擇目標(biāo)進(jìn)行攻擊���。
目前該集團(tuán)已經(jīng)引起了美國司法部的注意�����,美國司法部認(rèn)為FIN7竊取了超過1500萬條支付卡記錄�����,造成了超過10億美元的損失����。據(jù)司法部稱�����,僅在美國���,該組織就破壞了47個(gè)州和哥倫比亞特區(qū)的組織網(wǎng)絡(luò)���,司法部在6月以盜竊支付卡的罪名判處一名攻擊者7年監(jiān)禁和250萬美元罰款�����,其他人員的逮捕和定罪同樣也在困擾著政府���。
然而,嚴(yán)格的法律并沒有使該組織停止攻擊���。一個(gè)月后�,它又回來了��,以涉及杰克-丹尼爾斯威士忌的酒業(yè)公司的法律投訴為誘餌�,成功地攻擊了多家律師事務(wù)所。
FIN7是最臭名昭著的網(wǎng)絡(luò)金融犯罪組織之一�,因?yàn)樗麄兺ㄟ^眾多技術(shù)和攻擊面竊取了大量的敏感數(shù)據(jù)。盡管政府在全力的逮捕和判刑����,包括所謂的更高級(jí)別的成員����,目前該集團(tuán)仍然像以前一樣活躍�。美國檢察官認(rèn)為該集團(tuán)人數(shù)約為70人���,這意味著該集團(tuán)很可能會(huì)彌補(bǔ)人員上的損失�����,因?yàn)榭赡軙?huì)有其他的外部人員加入����。
參考及來源:https://threatpost.com/fin7-windows-11-release/169206/
來源:嘶吼專業(yè)版
在線咨詢
在線咨詢
0371-63319761