Bleeping Computer 網站披露，上個月，出于經濟動機的網絡犯罪集團 FIN7 再次浮出水面，微軟威脅研究人員將其與在受害者網絡上部署 Clop 勒索軟件有效載荷的攻擊活動聯系起來。

微軟安全情報部門表示網絡犯罪集團 FIN7（ELBRUS，Sangria Tempest）目前已經擺脫了不活躍狀態。其實早在 2023 年 4 月，就有研究人員觀察到了 FIN7 在某些攻擊活動中部署了 Clop 勒索軟件，這是自 2021 年底以來， FIN7 第一次參與的勒索軟件活動。

在最近的攻擊活動中，FIN7 組織利用基于 PowerShell 的 POWERTRASH 內存中惡意軟件植入程序在受感染的設備上部署 Lizar 后期開發工具，這使得威脅攻擊者能夠在目標網絡中”站穩腳跟“并橫向移動，以使用 OpenSSH 和 Impacke t部署 Clop 勒索軟件。

微軟指出在 REvil 和 Maze 參與 BlackMatter 和 DarkSide 勒索軟件即服務（Raas）業務之前（現已解散），FIN7 網絡犯罪團伙曾與它們有過聯系， Clop 勒索軟件只是其用來攻擊受害者的最新手段。

PaperCut 攻擊中使用的 FIN7 工具

值得一提的是，BleepingComputer 表示其看到的一份微軟私人威脅分析報告中顯示 FIN7 組織還與針對 PaperCu t 打印服務器的 Clop、Bl00dy 和 LockBit 勒索軟件的攻擊有關。

此外，微軟看到它追蹤的 FIN11 金融犯罪集團 Lace Tempest 采用了新的工具，包括該公司與 FIN7 相連的 inv.ps1 PowerShell 腳本，該腳本被用來部署 FIN7 的 Lizar 后期開發工具包，因此推測兩個威脅集團的運營商很可能最近開始合作或共享了攻擊工具。

FIN7活躍多年

2013 年以來，金融網絡犯罪組織 FIN7 就一直針對歐洲和美國餐館、賭博和酒店等不同領域的實體組織，開展網絡攻擊活動。美國聯邦調查局曾警本國企業， FIN7 協調的 USB 驅動器攻擊的目標是美國國防工業，包裹中含有惡意的 USB 設備，旨在部署勒索軟件。

此外，FIN7 背后運營商還在類似的攻擊中冒充百思買，通過美國郵政向酒店、餐館和零售企業發送惡意閃存驅動器，這些包裹還捆綁了泰迪熊，欺騙目標降低警惕。

隨著 FIN7 組織持續活躍，陸續有成員被捕。2021 年 4 月，FIN7 成員 Fedir Hladyr（一名高級經理）被判處 10 年監禁；2021 年 6 月，FIN7 成員 Andrii Kolpakov，被判處 7 年監禁；2022 年 4 月，FIN7 成員 Denys Iarmak 因網絡入侵和信用卡盜竊被判處 5 年監禁。盡管多年來一些 FIN7 成員持續被逮捕，但該黑客組織仍然活躍，并在不斷壯大。文章來源：

https://www.bleepingcomputer.com/news/security/microsoft-notorious-fin7-hackers-return-in-clop-ransomware-attacks/