FIN7黑客组织通过Windows11风格的Word文档投放Js后门

Fin7黑客使用Windows 11主题文档来删除JavaScript后门

最近的一波鱼叉式网络钓鱼活动利用带有 Visual Basic 宏的武器化 Windows 11 Alpha 主题 Word 文档,其中包括 JavaScript 植入程序,针对美国的销售服务商进行投放。

据网络安全公司 Anomali 的研究人员称,这些攻击据信发生在 2021 年 6 月下旬至 7 月下旬之间,被认为是出于经济动机的威胁行为者 FIN7 的“适度信心”。

Anomali Threat Research在 9 月 2 日发布的技术分析中表示: “Clearmind 域的特定目标非常符合 FIN7 的首选作案手法。”至少 2018 年。”

FIN7 是一个至少自 2015 年年中开始活跃的东欧集团,它曾以美国的餐厅、赌博和酒店业为目标,掠夺金融信息,例如信用卡和借记卡号码,这些信息随后在地下使用或出售以获利市场。

Fin7黑客使用Windows 11主题文档来删除JavaScript后门

尽管自今年年初以来,该集体的多名成员在不同活动中的角色而被监禁,但鉴于其 TTP 类似,FIN7 的活动也与另一个名为 Carbanak 的团体有关,主要区别在于 FIN7 专注于款待和零售部门,Carbanak 已经挑选出银行机构。

在 Anomali 观察到的最新攻击中,感染始于 Microsoft Word 恶意文档,其中包含一个据称是“在 Windows 11 Alpha 上制作的”诱饵图像,敦促接收者启用宏以触发下一阶段的活动,包括执行一个严重混淆的 VBA 宏,用于检索 JavaScript 负载,已发现该负载与 FIN7 使用的其他后门共享类似的功能

除了采取几个步骤通过用垃圾数据填充代码来阻止分析之外,VB 脚本还会检查它是否在 VirtualBox 和 VMWare 等虚拟化环境下运行,如果是,除了停止感染链外,还会自行终止在检测到俄语、乌克兰语或其他几种东欧语言时。

后门对 FIN7 的归因源于威胁行为者采用的受害者学和技术的重叠,包括使用基于 JavaScript 的有效载荷来掠夺有价值的信息。

研究人员说:“FIN7 是最臭名昭著的经济动机团体之一,因为他们通过多种技术和攻击面窃取了大量敏感数据。” “过去几年,威胁组织的情况一直动荡不安,因为成功和恶名引起了当局的密切关注。尽管受到了高调的逮捕和判刑,包括据称的高级成员,但该组织继续作为一如既往地活跃。”

 

FIN7黑客组织通过Windows11风格的Word文档投放Js后门

极牛网精选文章《FIN7黑客组织通过Windows11风格的Word文档投放Js后门》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/16139.html

(30)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
攻防实验室的头像攻防实验室认证作者
上一篇 2021年9月3日 下午2:22
下一篇 2021年9月3日 下午6:42

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部