近日,網絡犯罪組織FIN7利用高級手法,調用微軟動態數據交換(DDE),根本不用啟用宏,就可在Office應用程序中執行惡意軟件。
FIN7靈活規避安全監測FIN7(也被稱為Anunak或銀行大盜Carbanak)是目前為止組織最為嚴密的復雜網絡犯罪組織,自2017年初起開始活躍,因攻擊美國公司竊取支付卡數據而廣為人知。
FIN7向來使用取巧、定制的魚叉式網絡釣魚誘餌發動攻擊。一旦目標遭遇感染,FIN 7會在網絡中橫向活動,使用各種反取證技術規避檢測。該組織習慣于使用對象鏈接與嵌入(OLE)技術,通過在在Word文檔中嵌入LNK文件來分發惡意軟件。在攻擊中經常采用“無文件”攻擊方式,即沒有文件寫入磁盤。ICEBRG的安全研究團隊(SRT)在最近發現FIN7已經切換到使用CMD文件而不是LNK文件,這樣做很可能是為了逃避檢測。
今年6月, FIN7利用新的無文件多段式攻擊瞄準美國連鎖餐廳;
今年5月,與Carbanak Gang存在關系的FIN7利用Windows兼容性修復程序Shim攻擊美國證券交易委員會(SEC)。
Morphisec 研究人員總結了FIN7組織不同攻擊途徑的時間,研究人員表示,FIN7通常會在攻擊被發現幾天內采用新技術。
Morphisec研究人員通過VirusTotal分析了FIN7誘餌附件的檢出率。Morphisec在其報告中指出,Virus Total的檢出率顯示,當FIN7剛開始活躍時,大多數安全解決方案檢測不到。一旦安全解決方案更新模式,這些文件的檢出率提升至10/56或更高。這個時候,FIN7簡單調整代碼或安全軟件尋找的其它模式部署新工具。這種技術讓基于模式的被動檢測規則形同虛設。
其它研究人員分析FIN7的戰術后指出,FIN7遵循著高超黑客慣用的模式:初步攻擊建立立足點提權維持持久性橫向活動最終完成任務。
Morphisec總結稱,不斷改變攻擊模式是FIN7的核心商業模式。FIN7每起攻擊包含足夠多的新功能躲避檢測。當安全廠商設法跟上步伐時,FIN7已經在準備下一起攻擊。
事實上,快速采用新技術使歐洲信息安全技術展覽會(Infosecurity Europe)一名研究人員對FIN7做出這樣的評價:大多數環境不可能防住FIN7,檢測是能指望的最佳防御措施。
研究人員發現FIN7運作模式的過程今年早些時候,FIN7就與響應事件的Morphisec一名研究人員“交過手”,FIN組織首先阻止了這名研究人員使用的IP地址,然后放棄了整個命令與控制基礎設施。
FIN組織是首批采用高級隱秘無文件惡意軟件的組織。為了規避檢測,黑客利用無文件惡意軟件規避下載并安裝極易被檢測的惡意軟件,黑客會選擇使用目標電腦上已經安裝的工具,直接向目標電腦的工作內存(Working Memory)注入惡意代碼。
網絡釣魚仍是高水平攻擊的慣用手法執行這種操作的命令通常隱藏在附件內,濫用Visual Basic、Object Linking或DDE(動態數據交換)等功能作為附件誘餌。
研究人員分析這些附件誘餌后發現,這些誘餌依賴社會工程——微軟用戶一般會收到如下彈出框,詢問用戶是否“啟用內容”或“更新鏈接”——通常用來針對少量目標發起魚叉式網絡釣魚。
今年早些時候,FIN7涉嫌發送看似來自美國證券交易委員會(SEC)EDGAR(電子化數據收集、分析及檢索系統)的電子郵件,而這些郵件攜帶著標題為“年度報表(10K)的重大變化”。
10K報表是上市公司每年必須向SEC提交的報表,FIN瞄準的目標為提交給SEC文件中出現的人,這通常意味著這些人的電子郵箱出現在公共文件中。
上周,思科Talos團隊的研究人員發現包含欺騙性SEC地址的魚叉式網絡釣魚郵件,攜帶的附件使用DDE發起復雜的多段式感染過程,這是FIN7的典型做法。
關于該黑客組織的活躍記錄Carbanak黑客組織(也被稱作Anunak)自2013年開始活動以來,卡巴斯基實驗室2015年首次發現Carbanak犯罪團伙。該組織使用木馬惡意軟件對全球的銀行發起針對性攻擊,盜取30國銀行10億美元之后,該組織的活動才被浮出水面,其在2013年至2014年間,從30個國家100家銀行盜竊逾10億美元。
2016年年初,該組織主要針對美國和中東的銀行和金融機構發起攻擊。
2016年11月,該組織針對酒店行業的組織機構發起新一輪攻擊。
2017年1月,Carbanak開始利用Google服務進行命令與控制(C&C)通信。
京公網安備 11010502049343號