臭名昭著的网络犯罪集团 FIN7 与针对美国汽车行业的鱼叉式网络钓鱼活动有关,该活动旨在提供名为 Carbanak(又名 Anunak)的已知后门。
黑莓研究和情报团队在一份新的报告中表示: “FIN7 确定了该公司 IT 部门的员工,他们拥有更高级别的管理权限。”
“他们利用免费 IP 扫描工具的诱惑来运行著名的 Anunak 后门,并利用本地二进制文件、脚本和库 ( LOLBAS ) 获得初步立足点。”
FIN7,也称为 Carbon Spider、Elbrus、Gold Niagara、ITG14、Sangria Tempest,是一个著名的以经济为动机的电子犯罪组织,该组织拥有打击广泛行业垂直领域以传播能够窃取信息的恶意软件的记录。自 2012 年起销售点 (PoS) 系统。
近年来,威胁行为者已转向实施勒索软件操作,传播 Black Basta、Cl0p、DarkSide 和 REvil 等各种病毒。该组织的两名乌克兰成员费迪尔·赫拉德尔(Fedir Hladyr)和安德里·科尔帕科夫(Andrii Kolpakov)迄今已在美国被判入狱。
BlackBerry 在 2023 年底发现的最新活动以一封鱼叉式网络钓鱼电子邮件开始,该电子邮件嵌入了指向伪装成Advanced IP Scanner的虚假网站(“advanced-ip-sccanner[.]com”)的诱杀链接。
这家加拿大网络安全公司表示:“这个假网站重定向到‘myipscanner[.]com’,后者又重定向到攻击者拥有的 Dropbox,该 Dropbox 将恶意可执行文件 WsTaskLoad.exe 下载到受害者的计算机上。”
就其本身而言,二进制文件启动了一个多阶段过程,最终导致 Carbanak 的执行。它还旨在提供额外的有效负载(例如POWERTRASH),并通过安装 OpenSSH 进行远程访问来建立持久性。
目前尚不清楚威胁行为者是否计划部署勒索软件,因为受感染的系统很早就被检测到,并在到达横向移动阶段之前从网络中删除。
虽然此次攻击的目标是一家位于美国的“大型跨国汽车制造商”,但黑莓表示,它在同一提供商上发现了多个类似的恶意域名,这表明这可能是 FIN7 更广泛活动的一部分。
为了减轻此类威胁带来的风险,建议组织警惕网络钓鱼尝试,启用多重身份验证 (MFA),使所有软件和系统保持最新状态,并监控异常登录尝试。
发表评论
您还未登录,请先登录。
登录