Mandiant Threat Intelligence安全科学研究组织近期看到了一个高級攻击组织Fin11,该组织专业以获得资金利润为攻击总体目标,且很多应用故意电子邮箱主题活动开展勒索软件和数据信息偷盗。
认真阅读Mandiant公布的汇报,你也就会看到在一些层面,FIN11类似APT1,攻击者引人注意的没有她们的成熟,反而是她们主题活动的经营规模。在FIN11的垂钓使用中有较大的系统漏洞,可是当主题活动时,该组织每星期会开展高达五次的大免费流量。尽管很多以钱财为动因的危害组织全是短寿的,但FIN11最少从2016年起就逐渐开展这类规模性的垂钓主题活动。2017年至2018年,攻击组织关键对于金融业、零售和酒店业的组织。殊不知,在2019年,FIN11的总体目标拓展到包含一系列不一样的领域和地理区域。
Mandiant企业也对很多FIN11侵入事情作出了回复,但科研工作人员仅观查到该工作组在极少数情形下取得成功地根据浏览盈利。这也许代表着攻击者在钓鱼攻击实际操作中撒了一张大网站,随后依据地区、所在位置或觉察到的可靠趋势等特征选择进一步运用什么受害人。近期,FIN11早已布署了CLOP勒索软件,并危害要发布泄漏的数据信息,驱使受害人缴纳保释金。Clop是一类相对性较新的勒索软件,于2022年2月初次发生在大众视线中,Clop身后精英团队的具体目的是数据加密公司的文档,接到保释金后再推送解密器,现阶段Clop仍处在迅速发展壮大环节。7月Clop在国际性上(如韩)逐渐散播,而中国某公司也在被攻击后导致大规模感柒。该恶意程序暂未合理的解密工具,致该被害公司很多信息被数据加密而损害比较严重。FIN11变化赢利方法从2018年的POS机恶意程序,到2019年的勒索软件,再到2020年的混和敲诈勒索,攻击者愈来愈重视于攻击后的勒索软件布署和数据信息偷盗敲诈勒索。
特别注意的是,FIN11与另一个危害组织TA505拥有明显重合。TA505是Dridex金融机构木马病毒和Locky勒索软件的幕后人,他们根据Necurs僵尸网络开展故意垃圾邮件攻击。TA505互联网特工组织关键对于全世界金融企业开展攻击,自2014年至今就一直维持较为活跃的情况,在过去的的数年里,该组织早已根据运用金融机构木马病毒Dridex及其勒索软件Locky和Jaff做为攻击专用工具取得成功进行了几起大中型的互联网攻击主题活动。但科研工作人员发觉TA505的前期主题活动是和FIN11不一样的,因此2个组织并非同一个开发人员。和大部分以盈利为动因的攻击者一样,FIN11也并不是所有的开发设计全是重新开始的。科学研究工作人员觉得,该组织应用的业务给予密名域申请注册,EXO服务器(Bulletproof hosting)、代码签名证书及其私有化或半私有恶意程序,攻击者将工作中业务外包给这种违法犯罪服务提供商也许会使FIN11提升其工作的规模化和多元性。EXO服务器(Bulletproof hosting)就是指对客户提交和公布的內容不用限定的一种互联网或域名服务器,这类服务项目被通常运用来发垃圾邮件,在线赌博或网络色情等。一般的互联网服务提供商会经过服务条款对特殊內容或个人行为进行限定,为了避免自身的IP段被根据IP协议的反垃圾邮件过滤装置屏蔽掉而遭一切正常客户举报,也会终断对违反规定客户的服务项目。而EXO服务器则容许內容服务提供者绕开法律法规或当地的互联网技术查验组织,因此大多数的EXO服务器都是在海外(相对性于內容服务提供者的所在位置)。
特别注意的是,微软公司在2022年三月稍早方案策划了催毁Necurs僵尸网络的行为,目地是因为阻拦营运商申请注册新域名以在未来执行进一步的攻击。2022年3月微软公司和来源于35个我国的合作方采取一定的有效措施,端掉世界最大的网络诈骗互联网身后的僵尸网络。僵尸网络Necurs早已感染了全世界约900万部计算机,它是较大的垃圾邮件互联网之一,在一个多月内形成了380万封垃圾邮件。微软公司表明,这一行为是八年方案的結果。微软公司以及打压网络诈骗的精英团队在2012年初次发觉了Necurs,并在2014年发现该企业在神宙斯(Zeus)系统软件上散播相近GameOver Zeus的恶意程序。它很有可能参加了股票诈骗、假的药业垃圾邮件和“俄国幽会”行骗,政府觉得它是由俄国互联网犯罪分子实际操作的。
规模性的故意垃圾邮件主题活动
FIN11除开运用很多的故意电子邮箱散播体制外,还将其总体目标范畴拓展到了当地语言表达鱼饵及其控制的电子邮箱发件人信息内容,例如欺诈性的电子邮箱表明名字和电子邮箱发件人详细地址,进而使电子邮件看上去更为合理合法。依据近期的跟踪剖析,攻击者对法国的2020年竞选宣言特别感兴趣。
例如,攻击者在2020年1月应用“research report N-[five-digit number]”和“laboratory accident”等邮件主题引诱客户免费下载随后进行攻击,接着在3月又掀开了第二波以“[pharmaceutical company name] 2020 YTD billing spreadsheet.”为主题风格的垂钓攻击。
Mandiant威胁情报企业的高端技术性投资分析师Andy Moore确立表明:“FIN11的规模性电子邮箱散播主题活动在攻击全过程中还会持续梯度下降法。尽管大家都还没100%的直接证据,但有很多公布报导说明,直到2018年的某些情况下,FIN11还比较严重取决于Necurs僵尸网络来散播恶意程序。特别注意的是,观查到的Necurs僵尸网络关机時间与FIN11的主题活动停滞不前立即相匹配。”
实际上,依据Mandiant的科学研究,从2020年3月中下旬到2020年5月中旬,FIN11的实际操作好像已彻底终止,直到6月,根据带有故意HTML配件的钓鱼邮件,来推送故意的微软公司Office文档,FIN11才再度修复运作。
而Office文档则应用宏来获得MINEDOOR dropper和FRIENDSPEAK downloader,后面一种接着将MIXLABEL侧门发送至感柒的设施上。
向混和敲诈勒索方法变化
殊不知,近半年来,FIN11为了更好地加速盈利的脚步,应用了CLOP勒索软件对总体目标开展攻击,除此之外她们还采用了混和敲诈勒索攻击,将勒索软件与数据信息偷盗紧密结合,以驱使企业支付从几十万美金到万美元不一的敲诈勒索信用卡账单。
Mandiant威胁情报企业高級技术性投资分析师Andy Moore表明:“FIN11根据将勒索软件和数据信息偷盗紧密结合从而将侵入个人行为彻底货币化安置,这在有经济发展动因的攻击者中展现出更普遍的发展趋向。在历史上更普遍的货币化安置对策,例如布署在特殊攻击点的恶意程序,这次将攻击者限定在特殊领域的攻击总体目标,而勒索软件的推广可以让攻击者从侵入几乎一切组织的总体目标中盈利。
这类敲诈勒索盈利方式,让致力于盈利利润最大化的攻击者会更为玩命。
更主要的是,听说FIN11应用了从黑市交易社区论坛选购了各种的专用工具例如FORKBEARD, SPOONBEARD和MINEDOOR),因而难以对FIN11的攻击种类开展归因于。
对于FIN11的背后精英团队,因为存有德语文档数据库,且攻击不容易在独联体国家布署CLOP,因而该组织只有在独联体国家以外开展业务。并且,1月1日至8日,俄罗斯新年和东正教圣诞期内的主题活动大幅度降低。因而Mandiant表明很可能是独联体的国家开发的。
除非是对她们的经营管理体系导致某类影响,不然FIN11很有可能再次布署勒索软件和盗取数据信息,并从而获得更多的盈利。因为FIN11会按时升级其TTP,以躲避检验并提升其攻击的实效性。虽然有这种作用变更,可是,近期的FIN11主题活动自始至终借助应用置入之中的宏故意Office文本文档来传送其有效载荷。与别的减轻对策实践活动一起,组织可以经过培训客户鉴别钓鱼攻击电子邮箱,禁止使用Office宏及其对FRIENDSPEAK下载工具执行检验,来最高水平地减少被FIN11伤害的风险性。
文中翻譯自:https://thehackernews.com/2020/10/fin11-hackers-spotted-using-new.html