上个月,一个名为FIN7的网络犯罪团伙重新浮出水面,分析表明该团伙与最终目标是在受害者网络上部署Clop勒索软件有效载荷的攻击有关。
出于经济动机的网络犯罪集团Sangria Tempest(ELBRUS,FIN7)已经摆脱了长期的不活动状态。据观察,该组织在 2023 年 4 月的机会主义攻击中部署了Clop勒索软件,这是自 2021年末以来的首次勒索软件活动。
在最近的这些攻击中,FIN7攻击者利用基于PowerShell的POWERTRASH内存中恶意软件植入程序在受感染的设备上部署Lizar后期开发工具。
这使得攻击者能够在目标网络中站稳脚跟,并横向移动以使用OpenSSH和Impacket部署 Clop勒索软件。这个合法的Python工具包也可用于远程服务执行和中继攻击。
据说Clop勒索软件只是网络犯罪团伙用来攻击受害者的最新版本。
该组织曾与REvil和Maze勒索软件有关联,此前他们参与了现已解散的BlackMatter和DarkSide勒索软件即服务(Raas)业务。
▍PaperCut攻击中使用的FIN7 工具
另有报告称,FIN7还与使用Clop、Bloody和LockBit勒索软件针对 PaperCut打印服务器的攻击有关。
微软发现了其追踪的FIN11金融犯罪集团,因为Lace Tempest被发现使用了新的工具,包括该公司连接到FIN7的inv.ps1 PowerShell脚本。
该脚本用于部署FIN7的Lizar后开发工具包,很可能是这两个威胁组织的运营商最近开始联手或共享他们的攻击工具。
▍诡计多端且树大根深的黑客组织
自2013年开始运营以来,以经济为动机的FIN7黑客组织与主要针对欧洲和美国的银行和各行业(主要是餐馆、博彩和酒店)公司的 PoS 机终端的攻击有关。
FBI已警告美国公司注意,由FIN7使用的USB驱动器攻击针对美国国防工业,包裹中包含了旨在部署勒索软件的恶意USB设备。
FIN7运营商还冒充Best Buy通过USPS使用恶意闪存驱动器对酒店、餐馆和零售企业进行类似的攻击,这些包裹还捆绑了泰迪熊,以诱使目标降低警惕。
尽管多年来抓捕了一些FIN7成员,但这新一轮攻击证明了该黑客组织仍然活跃且势头强劲。
2022 年 4 月,FIN7“渗透测试员”Denys Iarmak因至少持续两年的网络渗透和信用卡盗窃攻击被判处 5 年徒刑。
Iarmak是继Andrii Kolpakov(另一位“渗透测试员”)于2021年6月被判入狱七年,Fedir Hladyr(高级经理)于 2021年4月被判十年徒刑之后,第三位在美国被判刑的FIN7成员。
事实证明这些黑客组织拥有顽强的生命力,随时可能发起攻击,法律的制裁也难以摧毁其势力。塞讯验证始终建议企业采取主动防御手段,在攻击来临前首先做好安全验证,发现安全防御体系的短板并及时优化升级。
塞讯模拟攻击库已包含FIN7组织和Clop勒索软件的攻击手段,您可以在塞讯安全度量验证平台中搜索关键词“FIN7”和“Clop”获取相关攻击模拟实验,从而验证您的安全防御体系是否能够有效应对该组织所使用的各种攻击手法。