臭名昭著的网络犯罪团伙FIN7又回来了,他们又耍了新花招!了解FIN7不断演变的策略,包括勒索软件和自定义EDR绕过工具(如AvNeutralizer)。了解如何利用Sentinel Labs研究中的专家提示来加强对FIN7的防御。
俄罗斯黑客正在改变策略,现在选择使用付费工具,而不是他们传统上所熟知的定制工具。这种趋势在俄罗斯网络犯罪团伙FIN7的活动中显而易见,该团伙十多年来一直以全球金融机构和企业为目标。
FIN7最初专注于销售点(POS)系统入侵,并因此而臭名昭著,此后,该组织不断改进其策略以最大化其收益。Sentinel Labs的最新报告分析了该团伙转向勒索软件攻击的情况,重点介绍了他们首选的武器和作案手法。
据研究人员称,FIN7在2020年将重点转向勒索软件运营,与REvil和Conti等RaaS组织建立联系,并在Darkside和BlackMatter下推出自己的计划。他们创建了Combi Security和Bastion Secure等欺诈性信息安全公司来欺骗安全研究人员。尽管遭遇挫折,FIN7的活动仍在继续。
Sentinel Labs在揭露FIN7复杂的工具箱时发现了一个特别令人担忧的工具AvNeutralizer,这是一种EDR损伤工具,旨在使安全软件失效,使系统容易受到进一步的攻击。
2022年11月,SentinelLabs报告称FIN7与Black Basta组织存在联系,他们在勒索软件攻击中使用AvNeutralizer(AuKill),目前他们正在地下论坛上出售该勒索软件。
其他工具包括Powertrash,这是FIN7在其恶意活动中秘密执行后门负载时使用的一种高度混淆的PowerShell脚本。Diceloader(又名Lizar或IceBot)是一种后门,它允许攻击者建立C2通道,通过发送与位置无关的代码模块来控制系统。在FIN7操作中,Diceloader通常通过Powertrash加载器部署。
辅助UI客户端“远程系统客户端”用于与Diceloader C2服务器交互并控制其受害者,而在FIN7的服务器上发现了一个基于SSH的后门,它暴露了一个开放目录Web服务器,该服务器用作提供有效负载的暂存服务器。
FIN7使用多个假名来隐藏其身份并维持其地下犯罪活动。用户“goodsoft”、“lefroggy”和“killerAV”在exploitin论坛上以每月6500美元的价格宣传他们的“PentestSoftware”,“Stupor”在xssis论坛上以10000美元的价格宣传一款针对安全解决方案的AV杀手。根据证据,研究人员声称所有这些用户都属于FIN7集群,可能使用多个假名来维持他们的非法行动。
Fin7使用自动SQL注入攻击来利用面向公众的应用程序。他们采用多层次的方法,包括混淆恶意软件代码、利用合法工具进行恶意攻击以及利用流行软件中的漏洞。这种不断的创新使得网络安全研究人员很难追踪FIN7的活动并制定有效的防御措施。
为了防范此类威胁,企业应定期更新系统和软件,实施分层安全方法,对员工进行网络安全最佳实践培训,并制定数据备份和恢复计划。
评论已关闭。