FIN7黑客使用Windows 11主题文档删除Javascript后门

最近一波的鱼叉式网络钓鱼活动利用武器化的Windows 11 Alpha主题Word文档和Visual Basic宏，对位于美国的一家销售点（PoS）服务提供商投放恶意有效载荷，包括JavaScript植入。

据网络安全公司OnMali的研究人员认为，六月底至2021年7月下旬之间发生的袭击被认为是“中度自信”，这是一个财务动机威胁的演员被称为FIN 7。

Anomali威胁研究公司在9月2日发布的一份技术分析报告中表示：“Clearmind域的特定目标与FIN7的首选操作方式非常吻合。”。“该组织的目标似乎是至少从2018年起提供FIN7使用的JavaScript后门的变体。”

FIN7是一家至少自2015年年中开始活跃的东欧集团，有着曲折的历史，它以美国的餐饮、赌博和酒店业为目标，掠夺信用卡和借记卡号码等金融信息，然后在地下市场上使用或出售这些信息牟利。

尽管自今年年初以来，该团体的多名成员因在不同的活动中扮演的角色而被监禁，但鉴于其类似的TTP，FIN7的活动也与另一个名为Carbanak的团体有关，主要区别在于，尽管FIN7专注于酒店和零售行业，卡巴纳克挑选了一些银行机构。

在Anomali观察到的最新攻击中，感染始于一个Microsoft Word maldoc，其中包含一个据称“在Windows 11 Alpha上制作”的假图像该图像敦促接收者启用宏来触发下一阶段的活动，这涉及执行一个严重混淆的VBA宏来检索JavaScript负载，而这反过来又被发现与FIN7使用的其他后门共享类似的功能。

除了通过使用垃圾数据填充代码来尝试阻止分析外，VB脚本还检查它是否在VirtualBox和VMWare等虚拟化环境下运行，如果是，除了在检测到俄罗斯、乌克兰、，或者其他几种东欧语言。

后门被归为FIN7源于受害者学和威胁参与者采用的技术的重叠，包括使用基于JavaScript的有效载荷来掠夺有价值的信息。

研究人员说：“FIN7是最臭名昭著的有财务动机的组织之一，因为他们通过多种技术和攻击面窃取了大量敏感数据。”。“过去几年，这个威胁组织的情况一直不稳定，因为随着成功和臭名昭著，当局一直在密切关注。尽管遭到高调逮捕和判刑，包括被指控的高级成员，该组织仍然一如既往地活跃。”