新闻快讯
< >

解密FIN7黑客组织:加速创新,不断变换技术

E安全10月19日讯 近日,网络犯罪组织FIN7利用高级手法,调用微软动态数据交换(DDE),根本不用启用宏,就可在Office应用程序中执行恶意软件。

FIN7灵活规避安全监测

FIN7(也被称为Anunak或银行大盗Carbanak)是目前为止组织最为严密的复杂网络犯罪组织,自2017年初起开始活跃,因攻击美国公司窃取支付卡数据而广为人知。

FIN7向来使用取巧、定制的鱼叉式网络钓鱼诱饵发动攻击。一旦目标遭遇感染,FIN 7会在网络中横向活动,使用各种反取证技术规避检测。该组织习惯于使用对象链接与嵌入(OLE)技术,通过在在Word文档中嵌入LNK文件来分发恶意软件。在攻击中经常采用“无文件”攻击方式,即没有文件写入磁盘。ICEBRG的安全研究团队(SRT)在最近发现FIN7已经切换到使用CMD文件而不是LNK文件,这样做很可能是为了逃避检测。

  • 今年6月, FIN7利用新的无文件多段式攻击瞄准美国连锁餐厅;

  • 今年5月,与Carbanak Gang存在关系的FIN7利用Windows兼容性修复程序Shim攻击美国证券交易委员会(SEC)。

Morphisec 研究人员总结了FIN7组织不同攻击途径的时间,研究人员表示,FIN7通常会在攻击被发现几天内采用新技术。

解密FIN7黑客组织:加速创新,不断变换技术-E安全

Morphisec研究人员通过VirusTotal分析了FIN7诱饵附件的检出率。Morphisec在其报告中指出,Virus Total的检出率显示,当FIN7刚开始活跃时,大多数安全解决方案检测不到。一旦安全解决方案更新模式,这些文件的检出率提升至10/56或更高。这个时候,FIN7简单调整代码或安全软件寻找的其它模式部署新工具。这种技术让基于模式的被动检测规则形同虚设。

其它研究人员分析FIN7的战术后指出,FIN7遵循着高超黑客惯用的模式:初步攻击建立立足点提权维持持久性横向活动最终完成任务。
Morphisec总结称,不断改变攻击模式是FIN7的核心商业模式。FIN7每起攻击包含足够多的新功能躲避检测。当安全厂商设法跟上步伐时,FIN7已经在准备下一起攻击。

事实上,快速采用新技术使欧洲信息安全技术展览会(Infosecurity Europe)一名研究人员对FIN7做出这样的评价:大多数环境不可能防住FIN7,检测是能指望的最佳防御措施。

研究人员发现FIN7运作模式的过程

今年早些时候,FIN7就与响应事件的Morphisec一名研究人员“交过手”,FIN组织首先阻止了这名研究人员使用的IP地址,然后放弃了整个命令与控制基础设施。

FIN组织是首批采用高级隐秘无文件恶意软件的组织。为了规避检测,黑客利用无文件恶意软件规避下载并安装极易被检测的恶意软件,黑客会选择使用目标电脑上已经安装的工具,直接向目标电脑的工作内存(Working Memory)注入恶意代码。

网络钓鱼仍是高水平攻击的惯用手法

执行这种操作的命令通常隐藏在附件内,滥用Visual Basic、Object Linking或DDE(动态数据交换)等功能作为附件诱饵。

研究人员分析这些附件诱饵后发现,这些诱饵依赖社会工程——微软用户一般会收到如下弹出框,询问用户是否“启用内容”或“更新链接”——通常用来针对少量目标发起鱼叉式网络钓鱼。

今年早些时候,FIN7涉嫌发送看似来自美国证券交易委员会(SEC)EDGAR(电子化数据收集、分析及检索系统)的电子邮件,而这些邮件携带着标题为“年度报表(10K)的重大变化”。

解密FIN7黑客组织:加速创新,不断变换技术-E安全

10K报表是上市公司每年必须向SEC提交的报表,FIN瞄准的目标为提交给SEC文件中出现的人,这通常意味着这些人的电子邮箱出现在公共文件中。

上周,思科Talos团队的研究人员发现包含欺骗性SEC地址的鱼叉式网络钓鱼邮件,携带的附件使用DDE发起复杂的多段式感染过程,这是FIN7的典型做法。

关于该黑客组织的活跃记录

Carbanak黑客组织(也被称作Anunak)自2013年开始活动以来,卡巴斯基实验室2015年首次发现Carbanak犯罪团伙。该组织使用木马恶意软件对全球的银行发起针对性攻击,盗取30国银行10亿美元之后,该组织的活动才被浮出水面,其在2013年至2014年间,从30个国家100家银行盗窃逾10亿美元。

  • 2016年年初,该组织主要针对美国和中东的银行和金融机构发起攻击。

  • 2016年11月,该组织针对酒店行业的组织机构发起新一轮攻击。

  • 2017年1月,Carbanak开始利用Google服务进行命令与控制(C&C)通信。

相关阅读:

黑客组织FIN7使用新技术来规避安全检测

银行大盗Carbanak“武器库”再添新后门“Bateleur”
银行大盗 “Carbanak” 被疑使用Google服务进行恶意软件监控
新型银行木马“Odinaff”与Carbanak犯罪团伙有关
入侵全球银行的Carbanak犯罪团伙或与俄罗斯安全公司有关
胆大保天:黑客团伙Carbanak使用的攻击服务器居然指向了俄罗斯安全局

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。