恶名昭彰的网络犯罪集团 FIN7,也被称为 Carbon Spider 和 Sangria Tempest,近期因其创新的恶意 Google 广告使用方式而受到关注。这些模仿知名品牌的广告,是一个精心设计的计划的一部分,旨在部署有害软件,包括 NetSupport 远程访问木马 (RAT)。
最初以攻击销售点 (PoS) 系统来窃取付款数据而闻名,FIN7 的手段已显著演变。自 2013 年以来,该组织已扩展至对大型企业的勒索攻击,并精炼了其自订恶意软件的武器库。根据网络安全专家 eSentire 的说法,这包括各种恶意软件家族,如 BIRDWATCH、Carbanak 和 DICELOADER。
“这些威胁行为者利用恶意网站冒充知名品牌,包括 AnyDesk、WinSCP、BlackRock、Asana、Concur、《华尔街日报》、Workable 和 Google Meet,”网络安全公司 eSentire 在本周早些时候发布的报告 中表示。近几个月来,FIN7 已转向使用恶意广告malvertising技术,这是一种利用合法广告网络来推送有害内容的手段。
一个冒充知名品牌的恶意网站来源:eSentire
根据微软 在 2023 年 12 月发布的报告,发现这些罪犯正在利用 Google 广告来诱骗用户下载欺骗性的 MSIX 应用包。这一操控导致了 POWERTRASH 的安装,这是一种基于 PowerShell 的投放器,用于部署 NetSupport RAT 以及其他有害软件如 Gracewire。
2024 年 4 月,eSentire 观察到了利用这些技术的攻击行为。点击这些欺骗性 Google 广告的用户将收到弹出窗口,促使他们下载一个虚假的浏览器扩展。
该文件是一个包含 PowerShell 脚本的 MSIX,用于收集系统信息并连接到远程伺服器以检索其他恶意脚本。这个二级有效载荷负责从攻击者控制的伺服器下载和执行 NetSupport RAT。
PowerShell 有效载荷片段来源:eSentire
这个 RAT 随后被用来将进一步的恶意软件引入系统,包括透过 Python 脚本传送的 DICELOADER。合法品牌的整合及对签名的 MSIX 文件的利用显著提高了 FIN7 恶意活动的效果。
netflix合租平台Malwarebytes 也独立记录了类似的活动,指出这些攻击主要针对企业用户,伪装成高端品牌。不过,Malwarebytes 并未具体将这些活动与 FIN7 直接联系起来。
这些发展与其他令人担忧的网络威胁同时发生,例如 SocGholish 感染浪潮,该攻击专门通过精细的技术针对商业合作。而且,据消息显示,近期 Symantec 发现了一个针对 Windows 和 Microsoft Office 用户的活动,通过破解软件分发 RAT 和加密货币挖掘工具。
随著网络威胁的演变,了解像 FIN7 这样的团体至关重要。提高意识和采取主动措施可以显著降低这些复杂的恶意广告活动所带来的风险。
Anas Hasan
2024年5月13日
5 个月前
Anas Hassan是一位科技迷和网络安全爱好者,拥有丰富的数位转型行业经验。在非博客写作时,他喜欢观看足球比赛。