2008年10月19日。最近,网络犯罪组织FIN7利用先进技术调用微软动态数据交换(DDE),可以在Office应用程序中执行恶意软件,而根本不需要启用宏。
FIN7灵活规避安全监控
FIN7(也被称为Anunak或bank panic Carbanak)它是迄今为止最复杂的网络犯罪组织。自2017年初以来,它一直非常活跃,因攻击美国公司窃取支付卡数据而闻名。
FIN7始终使用巧妙而定制的鱼叉钓鱼诱饵进行攻击。一旦目标被感染,FIN 7将在网络中水平移动,并使用各种反收集技术来避免检测。该组织习惯于使用对象链接和嵌入(OLE)技术,通过在Word文档中嵌入LNK恶意软件分发文件。常用于攻击。“无文件”攻击,即不要将文件写入磁盘。ICEBRG安全研究小组(SRT)最近发现FIN7已经改用CMD文件而不是LNK可能是为了避免被发现。
今年6月,今年6月,FIN7对美国连锁餐厅采用新的无文件多阶段攻击;
今年5月,和Carbanak与团伙有关FIN7用Windows兼容性修复程序Shim攻击美国证券交易委员会(SEC)。
Morphisec总结了研究人员FIN7组织不同攻击路线的时间。研究人员说,FIN7新技术通常在攻击被发现后几天内使用。
Morphisec研究人员通过VirusTotal分析了FIN7诱饵附件的检出率。Morphisec在他的报告中指出
Total的检测率表明,在FIN7在活动开始时,大多数安全解决方案无法检测到。一旦安全解决方案更新,这些文件的检出率将提高到10/56或更高。FIN7只需调整安全软件寻找的代码或其他模式来部署新工具。该技术使基于模式的被动检测规则毫无用处。
分析FIN7其他研究人员指出,战术后FIN7遵循高超黑客的一般模式:初始攻击、立足点、增强力量、保持持续的横向活动,最终完成任务。
Morphisec综上所述,改变攻击方式是FIN7核心商业模式。FIN7每次攻击都有足够的新功能来避免检测。当安全制造商试图跟上步伐时,FIN7为下一次攻击做准备。
事实上,新技术的快速采用使得Infosecurity Europe研究人员是对的FIN7大多数环境都无法阻止这样的评价FIN7,检测是可以预期的最佳防御措施。
研究人员发现,11 研究人员发现,研究人员发现,研究人员发现FIN7运行模式的过程
今年早些时候,FIN7“对抗”了Morphisec回应事件的研究人员。FIN首先,研究人员使用的封锁IP然后放弃了整个指挥控制基础设施。
FIN它是第一个使用高级秘密无文件恶意软件的组织。为了避免检测,黑客使用无文件恶意软件,以避免下载和安装易于检测的恶意软件。黑客将选择使用安装在目标计算机上的工具,直接将恶意代码注入目标计算机的工作内存。
2 网络钓鱼仍然是高级攻击的常用方法。
执行此操作的命令通常隐藏在附件中,Visual Basic、对象链接或DDE(动态数据交换)等函数被滥用为附件诱饵。
在分析了这些附件诱饵后,研究人员发现这些诱饵依赖于社会工程——微软用户通常会收到以下弹出框,询问是否“启用内容”或“更新链接”——通常用于对少数目标进行鱼叉钓鱼。
今年早些时候,FIN7涉嫌发送似乎来自美国证券交易委员会(SEC)的SEC)EDGAR电子邮件(电子数据收集、分析和检索系统)“年度报告发生了重大变化(10K)”的标题。
10K报告显示,上市公司必须每年向前发展SEC报告。FIN针对的是出现SEC文件中的人通常意味着他们的电子邮件地址出现在公共文件中。
上周,思科Talos该团队的研究人员发现了欺诈SEC鱼叉网络钓鱼电子邮件地址,其附件使用DDE启动复杂的多阶段感染过程,这是FIN7典型特征。
3 组织活动记录
自2013年N7自2015年黑客组织开始活动以来,卡巴斯基实验室首次发现FIN7黑客犯罪团伙。该组织利用木马恶意软件对世界各地的银行发起有针对性的攻击,从30个国家的银行窃取了10亿美元,随后其活动浮出水面。从2013年到2014年,它从30个国家的100家银行窃取了10多亿美元。