根據(jù)網(wǎng)絡(luò)安全公司 eSentire 發(fā)布的一份報告來看，黑客組織 FIN7 在 Google Ads 傳播惡意軟件活動中主要冒充了包括 AnyDesk、WinSCP、BlackRock、Asana、Concur、《華爾街日報》、Workable 和 Google Meet 等在內(nèi)的眾多知名眾品牌。

FIN7 網(wǎng)絡(luò)犯罪團(tuán)伙（又名 Carbon Spider 、Sangria Tempest）自 2013 年“出道”以來一直非常活躍。最初，該組織主要針對銷售終端（PoS）設(shè)備開展攻擊活動，竊取支付數(shù)據(jù)。后來，逐漸轉(zhuǎn)向通過部署勒索軟件，襲擊大型公司以獲取贖金。

多年來，F(xiàn)IN7 網(wǎng)絡(luò)犯罪團(tuán)伙已經(jīng)多次改進(jìn)其戰(zhàn)術(shù)和惡意軟件庫，采用了 BIRDWATCH、Carbanak、DICELOADER（又名 Lizar 和 Tirion）、POWERPLANT、POWERTRASH 和 TERMITE 等各種自定義惡意軟件。

FIN7 網(wǎng)絡(luò)犯罪團(tuán)伙使用的技術(shù)手段

2023 年 12 月，微軟宣布觀察到了 FIN7 網(wǎng)絡(luò)犯罪團(tuán)伙依賴谷歌廣告誘導(dǎo)用戶下載惡意的 MSIX 應(yīng)用程序包，一旦安裝就會執(zhí)行一個基于 PowerShell 的內(nèi)存驅(qū)動程序 POWERTRASH，用于加載 NetSupport RAT和 Gracewire。

微軟還表示，F(xiàn)IN7 黑客組織是一個以金錢為“動機(jī)”的網(wǎng)絡(luò)犯罪團(tuán)伙，目前專注于開展網(wǎng)絡(luò)入侵活動，通過盜竊、加密受害者的數(shù)據(jù)信息，直接向受害者索要大量錢財，或者通過部署勒索軟件，"慢慢"訛詐受害者。

據(jù)悉，目前已經(jīng)有多個威脅攻擊者濫用 MSIX 作為惡意軟件的分發(fā)媒介 ，研究人員表示黑客組織都喜歡用的原因或許是其能夠繞過 Microsoft Defender SmartScreen 等安全機(jī)制。

網(wǎng)絡(luò)安全公司 eSentire 在 2024 年 4 月觀察到的網(wǎng)絡(luò)攻擊活動中發(fā)現(xiàn)，用戶通過谷歌廣告訪問假冒網(wǎng)站時，會顯示一個彈出消息，敦促他們立刻下載一個假的瀏覽器擴(kuò)展（其中包含一個 PowerShell 腳本的 MSIX 文件）該腳本會收集系統(tǒng)信息。此后，會聯(lián)系遠(yuǎn)程服務(wù)器獲取另一個編碼的 PowerShell 腳本（第二個 PowerShell 有效載荷會下載和執(zhí)行 NetSupport RAT）。

Malwarebytes 也觀察到了類似的惡意活動 ，并將網(wǎng)絡(luò)攻擊活動“描述”成通過模仿 Asana、BlackRock、CNN、Google Meet、SAP 和《華爾街日報》等知名品牌的惡意廣告和模態(tài)窗口，針對企業(yè)用戶，發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊。值得一提的是，Malwarebytes  并沒有將這一攻擊活動歸咎在 FIN7 身上。

最糟糕的是，賽門鐵克指出，惡意軟件一旦安裝，通常會在任務(wù)調(diào)度程序中注冊命令以保持持久性，即使在刪除后也能持續(xù)安裝新的惡意軟件。

參考文章：https://thehackernews.com/2024/05/fin7-hacker-group-leverages-malicious.html