一个以恶意软件活动而闻名的资金驱动型攻击组织FIN11,已经研究出了专注于勒索软件和勒索的策略。
据FireEye的Mandiant威胁情报团队称,该组织至少自2016年以来就参与了一系列网络犯罪活动,其中包括利用组织网络获取资金,此外还针对金融、零售、餐厅以及制药行业的销售点(POS)部署了恶意软件。
Mandiant说:“最近最常见的FIN11攻击通过分发CLOP勒索软件导致数据被盗、勒索和破坏受害者网络。”
尽管FIN11在过去的活动与诸如FaultedAmyy、FRIENDSPEAK和MIXLABEL等恶意软件有关,但Mandiant指出,TTP与另一个威胁组织TA505有着显著重叠。TA505是Dridex银行木马和Locky勒索软件的幕后黑手,它们通过Necurs僵尸网络进行恶意垃圾邮件攻击。
今年3月早些时候,微软策划了摧毁Necurs僵尸网络的行动,试图阻止攻击者的进一步活动。
大量恶意垃圾邮件活动
除了利用大量恶意电子邮件分发机制外,FIN11还将其目标扩展到本地语言诱饵,再加上伪造的电子邮件发送者信息,如伪造的电子邮件显示名称和电子邮件发送者地址,以使消息看起来更合法。在2020年,他们更倾向于攻击德国的组织。
例如,该组织在2020年1月发起了一场电子邮件活动,邮件主题包括“research report N-[five-digit number]”和“laboratory accident”,随后,他们在3月发起了第二波攻击,主题为“[pharmaceutical company name] 2020 YTD billing spreadsheet.”。
Mandiant威胁情报公司高级技术分析师Andy Moore通过电子邮件向The Hacker News表明:FIN11的高容量电子邮件分发活动在不断演变。
“有大量公开报告表明,2018年的某个时期,FIN11严重依赖Necurs僵尸网络进行恶意软件分发。值得注意的是,观察到的Necurs僵尸网络停机时间与FIN11的活动停滞直接对应。”
事实上,根据Mandiant的研究,从2020年3月中旬到2020年5月下旬,FIN11的活动似乎已经完全停止,但是在6月再次通过包含恶意HTML附件的钓鱼电子邮件来发送恶意Microsoft Office文件。
Office文件则利用宏来获取MINEDOOR dropper和FRIENDSPEAK downloader,然后将MIXLABEL后门发送到受感染的设备上。
向混合勒索转变
然而,近几个月来,FIN11的货币化努力导致一些组织感染了CLOP勒索软件,此外他们还采取了混合勒索攻击——将勒索软件与数据盗窃相结合,以迫使企业支付从几十万美元到百万美元不等的勒索账单。
Moore说:“FIN11通过勒索软件和勒索手段将入侵行为货币化,这在有经济动机的攻击者中呈现出更广泛的趋势。”
“历史上比较常见的货币化策略,例如部署销售点恶意软件,限制了攻击者以某些行业的受害者为目标,而勒索软件的分发可以让攻击者入侵几乎任何组织的网络,然后从中获利。”
“这种灵活性,再加上越来越多关于赎金不断膨胀的报道,极大地吸引了有经济动机的攻击者”他补充道。
更重要的是,据称FIN11使用了从地下论坛购买的各种工具(例如FORKBEARD, SPOONBEARD和MINEDOOR),因此很难进行归因。
攻击者可能是CIS出身
至于FIN11的根源,Mandiant表示,由于存在俄语文件元数据,避免在CIS国家部署CLOP,因此该组织在CIS国家之外开展业务。而且,1月1日至8日,俄罗斯新年和东正教圣诞节期间的活动急剧减少。
Moore说:“除非对他们的运营造成某种干扰,否则FIN11极有可能继续部署勒索软件,窃取数据用于勒索。”
“由于该组织定期更新其TTP,以逃避检测并提高其活动的有效性,这些渐进性的变化也可能继续下去。然而,尽管最近的活动中,FIN11始终依赖于嵌入的Office文档的恶意更改”。
“我们可以通过培训用户识别网络钓鱼电子邮件、禁用Office宏以及为FRIENDSPEAK downloader执行检测,将被FIN11危害的风险降至最低。”
稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。
本文由 HackerNews.cc 翻译整理,
转载请注明“转自 HackerNews.cc ” 并附上原文链接。
请登录后发表评论
注册