Bleeping Computer 网站披露,上个月,出于经济动机的网络犯罪集团 FIN7 再次浮出水面,微软威胁研究人员将其与在受害者网络上部署 Clop 勒索软件有效载荷的攻击活动联系起来。
微软安全情报部门表示网络犯罪集团 FIN7(ELBRUS,Sangria Tempest)目前已经摆脱了不活跃状态。其实早在 2023 年 4 月,就有研究人员观察到了 FIN7 在某些攻击活动中部署了 Clop 勒索软件,这是自 2021 年底以来, FIN7 第一次参与的勒索软件活动。
在最近的攻击活动中,FIN7 组织利用基于 PowerShell 的 POWERTRASH 内存中恶意软件植入程序在受感染的设备上部署 Lizar 后期开发工具,这使得威胁攻击者能够在目标网络中”站稳脚跟“并横向移动,以使用 OpenSSH 和 Impacke t部署 Clop 勒索软件。
微软指出在 REvil 和 Maze 参与 BlackMatter 和 DarkSide 勒索软件即服务(Raas)业务之前(现已解散),FIN7 网络犯罪团伙曾与它们有过联系, Clop 勒索软件只是其用来攻击受害者的最新手段。
PaperCut 攻击中使用的 FIN7 工具
值得一提的是,BleepingComputer 表示其看到的一份微软私人威胁分析报告中显示 FIN7 组织还与针对 PaperCu t 打印服务器的 Clop、Bl00dy 和 LockBit 勒索软件的攻击有关。
此外,微软看到它追踪的 FIN11 金融犯罪集团 Lace Tempest 采用了新的工具,包括该公司与 FIN7 相连的 inv.ps1 PowerShell 脚本,该脚本被用来部署 FIN7 的 Lizar 后期开发工具包,因此推测两个威胁集团的运营商很可能最近开始合作或共享了攻击工具。
FIN7活跃多年
2013 年以来,金融网络犯罪组织 FIN7 就一直针对欧洲和美国餐馆、赌博和酒店等不同领域的实体组织,开展网络攻击活动。美国联邦调查局曾警本国企业, FIN7 协调的 USB 驱动器攻击的目标是美国国防工业,包裹中含有恶意的 USB 设备,旨在部署勒索软件。
此外,FIN7 背后运营商还在类似的攻击中冒充百思买,通过美国邮政向酒店、餐馆和零售企业发送恶意闪存驱动器,这些包裹还捆绑了泰迪熊,欺骗目标降低警惕。
随着 FIN7 组织持续活跃,陆续有成员被捕。2021 年 4 月,FIN7 成员 Fedir Hladyr(一名高级经理)被判处 10 年监禁;2021 年 6 月,FIN7 成员 Andrii Kolpakov,被判处 7 年监禁;2022 年 4 月,FIN7 成员 Denys Iarmak 因网络入侵和信用卡盗窃被判处 5 年监禁。尽管多年来一些 FIN7 成员持续被逮捕,但该黑客组织仍然活跃,并在不断壮大。文章来源:
https://www.bleepingcomputer.com/news/security/microsoft-notorious-fin7-hackers-return-in-clop-ransomware-attacks/
