资讯专栏INFORMATION COLUMN

FIN7黑客使用Windows 11主题文件植入Javascript后门

Atom / 2858人阅读

摘要:是一家早在年中期就开始活跃的东欧集团,曾以美国的餐饮赌博和酒店行业未目标,窃取信用卡和借记卡号码等金融信息,然后在地下市场上使用或出售这些信息牟利。尽管受到了高调的逮捕和判刑,该组织仍然一如既往地活跃。

最近的一波“鱼叉式网络钓鱼”活动利用带有Visual Basic宏的武器化Windows 11 Alpha 主题Word文档,针对位于美国的销售点(PoS)服务提供商投放恶意负载,包括植入JavaScript程序。

据网络安全公司Anomali研究人员称,这些攻击发生在2021年6月下旬至7月下旬之间,被认为是出于经济动机的威胁行为者FIN7。

Anomali Threat Research在9月2日发布的技术分析中表示:“Clearmind 域的特定目标与FIN7的首选作案手法十分吻合。”该组织的目标似乎是提供FIN7至少从2018年就开始使用的JavaScript后门的变体。

FIN7是一家早在2015年中期就开始活跃的东欧集团,曾以美国的餐饮、赌博和酒店行业未目标,窃取信用卡和借记卡号码等金融信息,然后在地下市场上使用或出售这些信息牟利。

图片5.png

尽管自今年年初以来,该集体的多名成员因在不同网络攻击活动中被监禁,但鉴于其 TTP类似,FIN7的活动也与另一个名为Carbanak的团体有关,主要区别在于FIN7专注于款待和零售部门,Carbanak已经针对银行机构。

在Anomali观察到的最新攻击中,感染始于Microsoft Word恶意文档,其中包含一个据称是“在 Windows 11 Alpha上制作的”诱饵图像,敦促接收者启用宏以触发下一阶段的活动,包括执行一个严重混淆的VBA宏,用于检索JavaScript负载,已发现该负载与 FIN7使用的其他后门共享类似的功能。

除了采取几个步骤通过用垃圾数据填充代码来阻止分析之外,VB脚本还会检查它是否在VirtualBox和VMWare等虚拟化环境下运行,如果是,除了停止感染链外,还会自行终止在检测到俄语、乌克兰语或其他几种东欧语言时。

后门对FIN7的归因源于威胁行为者采用的受害者学和技术的重叠,包括使用基于 JavaScript的有效载荷来掠夺有价值的信息。

研究人员表示:“FIN7 是最臭名昭著的经济动机团体之一,因为他们通过多种技术和攻击面窃取了大量敏感数据。” “过去几年,这个威胁组织的形势一直动荡不安,因为随着成功和恶名的到来,当局的目光始终保持着警惕。尽管受到了高调的逮捕和判刑,该组织仍然一如既往地活跃。”

近年来黑客发动网络攻击的手段不断翻新,攻击技术不断升级。企业屡屡遭受网络攻击的困扰,一方面由于互联网通信协议本身的问题,更重要的是系统漏洞给黑客以可乘之机。研究显示,超95%的企业系统存在严重的安全漏洞问题,这些问题将它们置于网络攻击风险之中并可能导致大规模数据泄露。

为确保数据安全免遭网络攻击,在加强网络安全意识的同时,更要从根本上解决软件安全漏洞问题。数据显示,90%的网络攻击事件直接或间接由安全漏洞导致的,因此在软件开发过程中加强对代码质量要求,使用静态代码检测等工具发现并及时修改代码缺陷及漏洞,可以大大减少软件安全漏洞数,提高软件安全性。加强软件安全是网络安全防御手段的重要补充,通过强化软件自身安全性,筑牢网络安全根基。Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!

参读链接:

www.woocoom.com/b021.html?i…

thehackernews.com/2021/09/fin…

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/119566.html

相关文章

  • 如何应对常态的Tb级别DDoS攻击?

    引言自2018年Github遭遇1.35Tbps的大流量攻击以来,Tb级别攻击首次出现在大众面前。伴随着物联网、智能终端的蓬勃发展,当前Tb级别攻击已越来越普遍。近日,UCloud安全团队协助客户成功防御了多次1.2Tbps的超大流量攻击。下面将就此次攻击事件简单地向大家进行梳理和分析。事件回顾12月2日10:56:32 ⾄ 11:49:06,UCloud一个重要的行业客户突然遭受到159G的DD...

    社区管理员 评论0 收藏0
  • FIN8开始针对金融机构!利用新的恶意软件部署后门窃取信息

    摘要:一个以获取大笔资金为目标的网络犯罪团伙利用一种名为的新恶意软件攻破了美国一家金融机构的网络。罗马尼亚网络安全技术公司将之前未记录在案的恶意软件称为,在针对位于美国的一家未名金融机构发起的攻击失败后,在调查中遇到了这种恶意软件。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-siz...

    ranwu 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<