《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > FIN7利用Windows 11的發(fā)布進(jìn)行攻擊

FIN7利用Windows 11的發(fā)布進(jìn)行攻擊

2021-10-20
來源:嘶吼專業(yè)版
關(guān)鍵詞: Windows11 FIN7 攻擊

  FIN7這個金融網(wǎng)絡(luò)犯罪團(tuán)伙又回來了,他們利用以新版本的Windows為主題的Word文檔進(jìn)行攻擊,其中還附加了惡意的javascript腳本。

  安全人員觀察到該團(tuán)伙在最近的一次攻擊活動中,利用了六個不同的文件,都提到了 Windows 11 Alph這個微軟即將推出的Windows 11操作系統(tǒng)的內(nèi)部預(yù)覽版本。

  6月下旬,Windows 11 Alpha被發(fā)布到了該計(jì)算機(jī)巨頭的開發(fā)者渠道中,它在技術(shù)人員中引起了很大的轟動,因?yàn)樗峁┝薟indows11預(yù)覽版。同時,官方在今年秋季才會正式推出Windows 11正式版。

  FIN7的攻擊者們希望利用這一點(diǎn),通過電子郵件將該主題的文件提供給位于加州的銷售點(diǎn)供應(yīng)商Clearmind以及其他目標(biāo),所有的這些文件都帶有惡意的Visual Basic(VBA)宏。

  感染鏈?zhǔn)菑囊粋€帶有誘惑性圖像的微軟Word文檔開始的,它告訴讀者它是用Windows 11 Alpha制作的,該圖片中的內(nèi)容要求用戶啟用編輯以查看更多內(nèi)容。

  一旦編輯被啟用,就會執(zhí)行一個VBA宏,從。doc文件內(nèi)的一個隱藏表格中獲取編碼值,并用一個XOR鍵對其進(jìn)行解密。同時將創(chuàng)建一個腳本,對目標(biāo)進(jìn)行各種信息的檢查。

  它首先檢查目標(biāo)系統(tǒng)的語言,如果發(fā)現(xiàn)是俄語、烏克蘭語或其他任何的東歐語言,腳本將終止運(yùn)行。

  該腳本還會檢查是否存在虛擬機(jī),以確保它沒有在沙盒環(huán)境中被運(yùn)行分析,如果發(fā)現(xiàn)了,將終止文件的運(yùn)行。然后,它會查看目標(biāo)是否在銷售點(diǎn)(PoS)服務(wù)提供商的域名clearmind.com上。如果是,它將繼續(xù)進(jìn)行檢查。

  Clearmind域名這個攻擊目標(biāo)很符合FIN7的操作方式。作為一家位于加州的零售和酒店業(yè)PoS技術(shù)供應(yīng)商,如果感染成功了,那么該集團(tuán)將會獲得大量的支付卡數(shù)據(jù),隨后在地下市場上出售這些信息。

  研究人員指出,如果這個檢查結(jié)果符合攻擊條件,該腳本會將一個名為 “word_data.js ”的JavaScript文件丟入TEMP文件夾,該文件一旦被解析運(yùn)行,它就會變成FIN7的JavaScript后門,該組織自2018年以來就一直在采用該技術(shù)。從那里,F(xiàn)IN7就可以進(jìn)一步滲透到受害者的機(jī)器中,竊取數(shù)據(jù)并進(jìn)行網(wǎng)絡(luò)偵察,然后進(jìn)行橫向移動。

  FIN7(又名Carbanak Group或Navigator Group)是一個著名的威脅攻擊組織,至少從2015年開始就一直在作案。該團(tuán)伙通常會使用帶有惡意軟件的網(wǎng)絡(luò)釣魚文件攻擊受害者,然后滲透到系統(tǒng)中,竊取銀行卡數(shù)據(jù)并進(jìn)行出售。該團(tuán)伙一直在調(diào)整新的惡意軟件庫,它同時還針對休閑餐廳、賭場和酒店的PoS系統(tǒng)進(jìn)行攻擊。自2020年以來,該團(tuán)伙還增加了勒索軟件和數(shù)據(jù)泄露攻擊,利用ZoomInfo服務(wù)來根據(jù)收入情況選擇目標(biāo)進(jìn)行攻擊。

  目前該集團(tuán)已經(jīng)引起了美國司法部的注意,美國司法部認(rèn)為FIN7竊取了超過1500萬條支付卡記錄,造成了超過10億美元的損失。據(jù)司法部稱,僅在美國,該組織就破壞了47個州和哥倫比亞特區(qū)的組織網(wǎng)絡(luò),司法部在6月以盜竊支付卡的罪名判處一名攻擊者7年監(jiān)禁和250萬美元罰款,其他人員的逮捕和定罪同樣也在困擾著政府。

  然而,嚴(yán)格的法律并沒有使該組織停止攻擊。一個月后,它又回來了,以涉及杰克-丹尼爾斯威士忌的酒業(yè)公司的法律投訴為誘餌,成功地攻擊了多家律師事務(wù)所。

  FIN7是最臭名昭著的網(wǎng)絡(luò)金融犯罪組織之一,因?yàn)樗麄兺ㄟ^眾多技術(shù)和攻擊面竊取了大量的敏感數(shù)據(jù)。盡管政府在全力的逮捕和判刑,包括所謂的更高級別的成員,目前該集團(tuán)仍然像以前一樣活躍。美國檢察官認(rèn)為該集團(tuán)人數(shù)約為70人,這意味著該集團(tuán)很可能會彌補(bǔ)人員上的損失,因?yàn)榭赡軙衅渌耐獠咳藛T加入。



電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。