FIN7利用Windows 11的发布进行攻击 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

FIN7利用Windows 11的发布进行攻击

星辰大海 事件 2021-10-17 11:45:00
222626
收藏

导语:这个著名的黑客团体希望从加州的一个销售点服务提供商那里窃取支付卡数据。

FIN7这个金融网络犯罪团伙又回来了,他们利用以新版本的Windows为主题的Word文档进行攻击,其中还附加了恶意的javascript脚本。

安全人员观察到该团伙在最近的一次攻击活动中,利用了六个不同的文件,都提到了 Windows 11 Alph这个微软即将推出的Windows 11操作系统的内部预览版本。

6月下旬,Windows 11 Alpha被发布到了该计算机巨头的开发者渠道中,它在技术人员中引起了很大的轰动,因为它提供了Windows11预览版。同时,官方在今年秋季才会正式推出Windows 11正式版。

FIN7的攻击者们希望利用这一点,通过电子邮件将该主题的文件提供给位于加州的销售点供应商Clearmind以及其他目标,所有的这些文件都带有恶意的Visual Basic(VBA)宏。

FIN7的最新攻击布局

感染链是从一个带有诱惑性图像的微软Word文档开始的,它告诉读者它是用Windows 11 Alpha制作的,该图片中的内容要求用户启用编辑以查看更多内容。

一旦编辑被启用,就会执行一个VBA宏,从.doc文件内的一个隐藏表格中获取编码值,并用一个XOR键对其进行解密。同时将创建一个脚本,对目标进行各种信息的检查。

它首先检查目标系统的语言,如果发现是俄语、乌克兰语或其他任何的东欧语言,脚本将终止运行。

该脚本还会检查是否存在虚拟机,以确保它没有在沙盒环境中被运行分析,如果发现了,将终止文件的运行。然后,它会查看目标是否在销售点(PoS)服务提供商的域名clearmind.com上。如果是,它将继续进行检查。

Clearmind域名这个攻击目标很符合FIN7的操作方式。作为一家位于加州的零售和酒店业PoS技术供应商,如果感染成功了,那么该集团将会获得大量的支付卡数据,随后在地下市场上出售这些信息。

研究人员指出,如果这个检查结果符合攻击条件,该脚本会将一个名为 "word_data.js "的JavaScript文件丢入TEMP文件夹,该文件一旦被解析运行,它就会变成FIN7的JavaScript后门,该组织自2018年以来就一直在采用该技术。从那里,FIN7就可以进一步渗透到受害者的机器中,窃取数据并进行网络侦察,然后进行横向移动。

FIN7的攻击没有放缓的迹象

FIN7(又名Carbanak Group或Navigator Group)是一个著名的威胁攻击组织,至少从2015年开始就一直在作案。该团伙通常会使用带有恶意软件的网络钓鱼文件攻击受害者,然后渗透到系统中,窃取银行卡数据并进行出售。该团伙一直在调整新的恶意软件库,它同时还针对休闲餐厅、赌场和酒店的PoS系统进行攻击。自2020年以来,该团伙还增加了勒索软件和数据泄露攻击,利用ZoomInfo服务来根据收入情况选择目标进行攻击。

目前该集团已经引起了美国司法部的注意,美国司法部认为FIN7窃取了超过1500万条支付卡记录,造成了超过10亿美元的损失。据司法部称,仅在美国,该组织就破坏了47个州和哥伦比亚特区的组织网络,司法部在6月以盗窃支付卡的罪名判处一名攻击者7年监禁和250万美元罚款,其他人员的逮捕和定罪同样也在困扰着政府。

然而,严格的法律并没有使该组织停止攻击。一个月后,它又回来了,以涉及杰克-丹尼尔斯威士忌的酒业公司的法律投诉为诱饵,成功地攻击了多家律师事务所。

FIN7是最臭名昭著的网络金融犯罪组织之一,因为他们通过众多技术和攻击面窃取了大量的敏感数据。尽管政府在全力的逮捕和判刑,包括所谓的更高级别的成员,目前该集团仍然像以前一样活跃。美国检察官认为该集团人数约为70人,这意味着该集团很可能会弥补人员上的损失,因为可能会有其他的外部人员加入。

本文翻译自:https://threatpost.com/fin7-windows-11-release/169206/如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务