臭名昭著的 FIN7 网络犯罪团伙“卷土重来”
Bleeping Computer 网站披露,上个月,出于经济动机的网络犯罪集团 FIN7 再次浮出水面,微软威胁研究人员将其与在受害者网络上部署 Clop 勒索软件有效载荷的攻击活动联系起来。 微软安全情报部门表示网络犯罪集团 FIN7(ELBRUS,Sangria Tempest)目前已经摆脱了不活跃状态。其实早在 2023 年 4 月,就有研究人员观察到了 FIN7 在某些攻击活动中部署了 Clop 勒索软件,这是自 2021 年底以来, FIN7 第一次参与的勒索软件活动。 在最近的攻击活动中,FIN7 组织利用基于 PowerShell 的 POWERTRASH 内存中恶意软件植入程序在受感染的设备上部署 Lizar 后期开发工具,这使得威胁攻击者能够在目标网络中”站稳脚跟“并横向移动,以使用 OpenSSH 和 Impacke t部署 Clop 勒索软件。 微软指出在 REvil 和 Maze 参与 BlackMatter 和 DarkSide 勒索软件即服务(Raas)业务之前(现已解散),FIN7 网络犯罪团伙曾与它们有过联系, Clop 勒索软件只是其用来攻击受害者的最新手段。 PaperCut 攻击中使用的 FIN7 工具 值得一提的是,BleepingComputer 表示其看到的一份微软私人威胁分析报告中显示 FIN7 组织还与针对 PaperCu t 打印服务器的 Clop、Bl00dy 和 LockBit 勒索软件的攻击有关。 此外,微软看到它追踪的 FIN11 金融犯罪集团 Lace Tempest 采用了新的工具,包括该公司与 FIN7 相连的 inv.ps1 PowerShell 脚本,该脚本被用来部署 FIN7 的 Lizar 后期开发工具包,因此推测两个威胁集团的运营商很可能最近开始合作或共享了攻击工具。 FIN7活跃多年 2013 年以来,金融网络犯罪组织 FIN7 就一直针对欧洲和美国餐馆、赌博和酒店等不同领域的实体组织,开展网络攻击活动。美国联邦调查局曾警本国企业, FIN7 协调的 USB 驱动器攻击的目标是美国国防工业,包裹中含有恶意的 USB 设备,旨在部署勒索软件。 此外,FIN7 背后运营商还在类似的攻击中冒充百思买,通过美国邮政向酒店、餐馆和零售企业发送恶意闪存驱动器,这些包裹还捆绑了泰迪熊,欺骗目标降低警惕。 随着 FIN7 组织持续活跃,陆续有成员被捕。2021 年 4 月,FIN7 成员 Fedir Hladyr(一名高级经理)被判处 10 年监禁;2021 年 6 月,FIN7 成员 Andrii Kolpakov,被判处 7 年监禁;2022 年 4 月,FIN7 成员 Denys Iarmak 因网络入侵和信用卡盗窃被判处 5 年监禁。尽管多年来一些 FIN7 成员持续被逮捕,但该黑客组织仍然活跃,并在不断壮大。 转自 Freebuf,原文链接:https://www.freebuf.com/news/367177.html 封面来源于网络,如有侵权请联系删除
勒索软件集团 Fin7 成立假公司 招募技术工人扩大犯罪规模
安全研究专家表示,一个知名俄罗斯勒索软件集团成立了假公司,以招募技术工人来扩大其犯罪企业。根据安全公司 Recorded Future 旗下 Gemini 咨询部门的一份新报告,这家假公司是由 Fin7 成立的。外界认为集团创建的恶意软件,在今年 5 月份让美国最大的燃料管道之一陷入瘫痪。 《华尔街日报》早些时候报道了这一诡计,包括一个看起来很专业的网站,声称该公司提供网络安全服务。Fin7 与针对全球数百家公司的黑客攻击有关,目标是主要零售商使用的销售点系统。据信,攻击 Colonial Pipeline 的软件就是由该集团开发的,导致该燃料管道公司被迫关闭运营,中断了对东南部部分地区的汽油输送。 研究人员说,该组织创建了一个名为 Bastion Secure 的假公司,以及一个配套的网站,公布了程序员、系统管理员和反向工程师的公开职位,以组建一个能够执行任务的团队,支持网络犯罪活动。Fin7 有伪装成真实公司的历史,导致研究人员相信该组织“正在利用虚构的 Bastion Secure 公司招募不知情的 IT 专家参与勒索软件攻击”。 报告指出,该组织的招聘工作是由“对相对廉价的熟练劳动力的渴望”所驱动,提供的起薪在每月 800 美元至 1200 美元之间。虽然这在一些东欧国家是一个合理的 IT 工作起薪,但这只是该组织从网络犯罪中获得的利润的“一小部分”。 在调查 Bastion Secure 的过程中,一位 Gemini 部门的消息人士在这家假公司申请了一份工作。虽然前两个阶段包括 IT 专家在面试过程中通常会有的任务,但在第三个阶段,研究人员写道:“立即就能看出该公司参与了犯罪活动”。 他们写道:“Bastion Secure 的代表对文件系统和备份特别感兴趣,这表明 Fin7 对进行勒索软件攻击比 POS 感染更感兴趣”。 研究人员写道:“有了心甘情愿的同伙,Fin7将被迫分享总额达数百万美元的赎金,而不知情的雇员将为月薪低至数千美元而工作,这与后苏联国家的劳动力市场是相称的”。 据司法部称,Fin7 至少从 2014 年开始活跃,被认为是最大的网络犯罪行动之一,攻击了超过100多家美国公司,重点是酒店、博彩机构和餐馆,包括对Chipotle、Chili’s和Arby’s的攻击。 (消息及封面来源:cnBeta)
新发现!FIN7 的新型装载程序应用在 Carbanak 后门
专家们发现了一种被FIN7网络犯罪集团称为BIOLOAD的新型加载程序,该程序被用在Carbanak 后门作为新变化的释放器。 Fortinet EnSilo的研究人员发现,被称为BIOLOAD的新型的装载程序与FIN7黑客组织有关联。 Fin7黑客组织自2015年末开始活跃,活动目标是窃取全球范围内的企业支付卡信息,目前疑似已经袭击了100多家美国公司,袭击领域主要集中在其在餐饮、酒店和工业等行业。2018年8月,臭名昭著的FIN7网络犯罪集团三名犯罪人员被起诉,并受到网络欺诈、黑客入侵、盗取身份密码等行为的指控。 此外,BIOLOAD加载程序与BOOSTWRITE加载程序还存在极大的关联。 从相似角度看,BOOSTWRITE也是一个与FIN7组织相关联的加载程序,它也能够将恶意软件直接放入内存,但BIOLOAD通过二进制植入技术,采用dll的劫持方法,将恶意代码加载到合法程序中。 在研究过程中,Fortinet EnSilo的研究人员在FaceFodUninstaller.exe二进制文件中发现了一个恶意的动态链接库,这个链接库从windows 10 1803中开始清理安装Windows OS.此外,研究人员还发现黑客们在DLL“Winbio”所在的“\ System32 \ WinBioPlugIns”文件夹中被植入了恶意的WinBio.dll。 从不同角度看,BIOLOAD装载机样本于分别2019年3月和7月进行了编制,而BOOSTWRITE样本于5月编制。在加载器上,BIOLOAD不支持多个有效载荷,而使用XOR来解密有效载荷,并不是ChaCha密码。在秘钥连接上,BIOLOAD从受害者的名字中获得解密密钥而不是连接远程服务器来获取解密密钥。 2019年1月至4月的时间戳显示,BIOLOAD加载器主要被用来进行程序攻击,并进行Carbank病毒传输。专家发现,这些新的Carbank 病毒样本在对受感染的机器运行上针对防病毒解决方案检查相比以往会更多。而根据针对恶意软件攻击观察的TTPs分析表明:BIOLOAD是由FIN7网络犯罪集团开发的,很可能是BOOSTWRITE的前身。 Fortinet因此得出结论:“这是第一起FaceFodUninstaller.exe被威胁行为者滥用的主体案件,Fin7拥有最新工具的共享代码库,以及同样的技术和后门,导致了因加载程序而引发网络犯罪。时间戳以及更简单的功能表明BIOLOAD是在BOOSTWRITE基础上的更新。” Fortinet建议:由于加载程序是专门为每台目标计算机构建的,需要管理权限才能部署,因此建议相关部门要注意收集有关目标网络的信息。 消息来源:securityaffairs, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文
美国商场 500 万消费者信息被黑客盗!快看看你有没有中招
据 Wall Street Journal、纽约时报和 CNN 等多家媒体报道,美国奢侈品百货商场 Saks Fifth Avenue 和 Saks Off 5th、 Lord & Taylor 的消费者信用卡和借记卡信息被盗。涉及的消费者人数高达 500 万人,涉及的范围包括整个北美地区。或将成为零售业最大的一起消费者信息被盗事件。 一群来自俄语国家的黑客(Russian-speaking hackers)黑进了百货公司的交易系统。据报道,他们很可能是周三在网站上宣称已取得 500 万消费者银行卡信息的名为 Fin7 或 JokerStash 的黑客。黑客宣称已经将盗取的消费者信用卡及借记卡信息挂在地下论坛交易。 两家百货商场的总公司 Hudson’s Bay Company 的发言人在周日确认了这一消息。 Saks Fifth Avenue 从 1824 年以来一直为纽约市民提供高品质的服饰及服务,店铺总部位于纽约第五大道最繁华的地段,每天都吸引着成千上万的纽约市民及游客前来购物,也是许多中国留学生和上班族最爱逛的商场之一。 一份初步的分析报告指出,从 2017 年 5 月到 2018 年 3 月曾在 Saks 和 Lord & Taylor 店内消费过的消费者都有可能面临着信息被盗的风险。并且受影响的店铺在全美可能多达 130 家。但是影响最大的应该是位于纽约和新泽西的店铺。 公司发言人告诉媒体,百货商场方面已经开始对此事进行彻底的调查,并且在积极维护网站的安全监控系统,防止信息的进一步泄露。他们将为消费者提供免费的系统安全升级,包括监督和保护消费者的信用信息和记录等。如果发生盗刷,他们会第一时间通知消费者,消费者也将不会对盗刷负责。 根据咨询公司 Gemini Advisory 的数据,目前有 125,000 张信用卡和借记卡在 Saks 店内被用于消费,其中许多卡在上个月,也就是刚刚过去的 3 月份都有过活跃的消费记录。他们表示,目前没有迹象表明那些通过 Saks 官方网站进行网上购物的信用卡和借记卡信息有被泄露。该咨询公司还表示,Saks Fifth Avenue 和 Saks Off 5th、 Lord & Taylor 这起消费者信息泄露事件应该是有史以来百货零售行业最大的一起信息泄露事件。 偷走信息的黑客可能还参与过之前 Whole Foods, Chipotle, Omni Hotels & Resorts 和 Trump Hotels 的消费者信息被盗事件。Hudson’s Bay Company 表示,他们将在百货商场的专门网站上贴出信息被盗的详细信息,消费者们可以登录网站查询。 稿源:新浪看点,封面源自网络;