密黑客组织FIN7(找真正黑客弄回赌资)

　　2008年10月19日。最近，网络犯罪组织FIN7利用先进技术调用了微软动态数据交换(DDE)，可以在Office应用程序中执行恶意软件，而根本不需要启用宏。

　　FIN7灵活规避安全监控

　　FIN7(也被称为Anunak或bank panic Carbanak)是迄今为止组织最严密的复杂网络犯罪组织。它自2017年初以来一直很活跃，因攻击美国公司窃取支付卡数据而广为人知。

　　FIN7一直使用巧妙且定制的鱼叉钓鱼诱饵来发动攻击。一旦目标被感染，FIN 7会在网络中水平移动，利用各种反取证技术躲避检测。该组织习惯于使用对象链接和嵌入(OLE)技术，通过在Word文档中嵌入LNK文件来分发恶意软件。攻击中经常使用“无文件”攻击，即不将文件写入磁盘。ICEBRG的安全研究小组(SRT)最近发现FIN7已经改用CMD文件而不是LNK文件，可能是为了避免被发现。

　　今年6月，FIN7使用新的无文件多阶段攻击针对美国连锁餐厅;

　　今年5月，与Carbanak团伙有关系的FIN7用Windows兼容性修复程序Shim攻击了美国证券交易委员会(SEC)。

　　Morphisec研究人员总结了FIN7组织不同攻击路线的时间。研究人员表示，FIN7通常会在攻击被发现后的几天内采用新技术。

　　Morphisec研究人员通过VirusTotal分析了FIN7诱饵附件的检出率。Morphisec在他的报告中指出

　　Total的检测率表明，在FIN7刚刚活动的情况下，大部分安全解决方案都检测不到。一旦安全解决方案更新模式，这些文件的检出率将增加到10/56或更高。此时FIN7只是简单的调整安全软件寻找的代码或者其他模式来部署新的工具。这项技术使得基于模式的被动检测规则变得毫无用处。

　　在分析了FIN7的战术后，其他研究人员指出FIN7遵循了高超黑客的通常模式:初始攻击、建立立足点、提升力量、保持持续的横向活动并最终完成任务。

　　Morphisec总结说，改变攻击方式是FIN7的核心商业模式。FIN7每次攻击都包含足够多的新功能来躲避检测。当安全厂商试图跟上步伐时，FIN7已经在为下一次攻击做准备了。

　　事实上，新技术的快速采用使得Infosecurity Europe的一名研究人员对FIN7做出了这样的评价:大多数环境都无法阻止FIN7，检测是可以预期的最佳防御措施。

　　1 研究人员发现FIN7运行模式的过程

　　今年早些时候，FIN7“对抗”了Morphisec的一名回应该事件的研究人员。FIN首先封锁了研究人员使用的IP地址，然后放弃了整个指挥控制基础设施。

　　FIN是第一个采用高级秘密无文件恶意软件的组织。为了躲避检测，黑客使用无文件恶意软件，避免下载安装容易被检测到的恶意软件。黑客会选择使用目标计算机上已经安装的工具，将恶意代码直接注入目标计算机的工作内存。

　　2 网络钓鱼仍然是高级攻击的常用方法。

　　执行此操作的命令通常隐藏在附件中，Visual Basic、对象链接或DDE(动态数据交换)等函数被滥用为附件的诱饵。

　　在分析了这些附件诱饵后，研究人员发现，这些诱饵依赖于社交工程——微软用户通常会收到以下弹出框，询问是否“启用内容”或“更新链接”——通常用于对少数目标发起鱼叉式钓鱼。

　　今年早些时候，FIN7涉嫌发送似乎来自美国证券交易委员会(SEC)的SEC)EDGAR(电子数据收集、分析和检索系统)的电子邮件，这些邮件带有“年度报告重大变化(10K)”的标题。

　　10K报告是上市公司每年必须向SEC提交的报告。FIN针对的是出现在SEC文档中的人，这通常意味着他们的电子邮件地址出现在公开文档中。

　　上周，思科Talos团队的研究人员发现了包含欺诈性SEC地址的鱼叉式网络钓鱼电子邮件，其附件使用DDE启动复杂的多阶段感染过程，这是FIN7的典型特征。

　　3 关于组织的活动记录

　　自2013年N7黑客组织开始活动以来，卡巴斯基实验室于2015年首次发现FIN7黑客犯罪团伙。该组织利用木马恶意软件对世界各地的银行发起有针对性的攻击，从30个国家的银行窃取了10亿美元，随后其活动浮出水面。从2013年到2014年，它从30个国家的100家银行窃取了超过10亿美元。