FIN 小组是第一个使用高级隐形无文件恶意软件的组织之一。为了避免检测,黑客使用无文件恶意软件来避免下载和安装易于检测的恶意软件。黑客选择使用安装在目标计算机上的工具,并将恶意代码直接注入目标计算机的工作内存。
网络钓鱼仍然是高级攻击的常态
执行此类操作的命令通常隐藏在附件中,滥用 Visual Basic、对象链接或 DDE(动态数据交换)等功能作为附件诱饵。
当研究人员分析这些附件诱饵时,他们发现它们依赖于社会工程学——微软用户通常会收到如下图所示的弹出框,询问他们是否想要它“启用内容”或“更新链接”——通常用于攻击 少数目标网络钓鱼。
今年早些时候,据说 FIN7 似乎来自美国证券交易委员会 (SEC) EDGAR(电子数据收集、分析和检索系统)包含标题为标题的电子邮件“年度回报 (10K) 的重大变化”电子邮件。
10K上市公司必须向 表格SEC 提交的年度报告。FIN 出现在 SEC 文件中的人通常意味着他们的电子邮件地址出现在公共文件中。
上周,思科 Talos 团队的研究人员发现了欺骗性 SEC 鱼叉网络钓鱼电子邮件地址及附件,使用 DDE 启动了一个复杂的多阶段感染过程,典型的 FIN7。
组织的活动记录
自 FIN7自2013年活动开始以来,卡巴斯基实验室于2015年首次发现 FIN7 犯罪团伙。该组织利用木马恶意软件攻击全球银行,从 30个国家/地区的银行窃取 10 1亿美元后,该组织的活动浮出水面。超过 10 1亿美元被盗。