利用密码重用和软件供应链攻击的FIN7黑客

最新研究显示，臭名昭著的网络犯罪集团FIN7已将其初始访问载体多样化，以纳入软件供应链泄露和被盗凭证的使用。

事故响应公司Mandiant在周一的一份分析报告中表示：“在多个组织的FIN7归因活动以及技术重叠之后，数据盗窃勒索或勒索软件部署表明，随着时间的推移，FIN7参与者与各种勒索软件操作有关联”。

这家网络犯罪集团自20世纪10年代中期出现以来，就因针对销售点（POS）系统的大规模恶意软件活动而声名狼藉，这些系统针对的是餐馆、赌博和酒店业，使用的是窃取信用卡的恶意软件。

FI7对勒索软件的货币化战略的转变遵循了记录未来的双子座咨询单位2021年10月的报告。该报告发现，对手建立了一个名为BasTeStand的假前沿公司，招募不知情的渗透测试人员，导致勒索软件攻击。

然后在今年1月早些时候，美国联邦调查局（FBI）发布了一份闪存警报，警告各组织，这一出于经济动机的团伙正在向运输、保险和国防行业的美国商业目标发送恶意USB驱动器（又名BadUSB），以便用包括勒索软件在内的恶意软件感染系统。

自2020年以来，该公司最近实施的入侵行为涉及部署一个名为POWERPLANT的大型PowerShell后门框架，延续了该集团在攻击性操作中使用基于PowerShell的恶意软件的倾向。

Mandiant的研究人员说：“毫无疑问，PowerShell是FIN7的爱情语言”。

在其中一次攻击中，观察到FIN7破坏了一个销售数字产品的网站，以调整多个下载链接，使其指向一个亚马逊S3存储桶，该存储桶承载特洛伊木马版本，其中包含合法的远程管理工具Atera Agent，该工具随后向受害者的系统提供了动力。

这起供应链攻击还标志着该集团在初始访问和部署第一阶段恶意软件有效载荷方面不断演变的交易工艺，这些恶意软件有效载荷通常以网络钓鱼计划为中心。

该组织为促进其渗透而使用的其他工具包括侦察工具EASYLOOK；BOATLAUNCH是一个辅助模块，旨在绕过Windows反恶意软件扫描接口（AMSI）；还有鸟类观察，一个。NET下载程序，用于获取和执行通过HTTP接收的下一阶段二进制文件。

“尽管2018的FI7成员被起诉，美国司法部公布了2021的相关判决，但FIN的一些成员仍然保持活跃，并随着时间的推移继续发展他们的犯罪行动。”

“在整个发展过程中，FIN7提高了他们的行动节奏、目标范围，甚至可能与网络犯罪地下组织中的其他勒索软件行动的关系。”