黑客组织 FIN7 借用 Google Ads 传播恶意软件
2024-5-13 10:31:34 Author: www.freebuf.com(查看原文) 阅读量:2 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

近日,网络安全研究人员发现黑客组织 FIN7 滥用 Google Ads ,散播、部署恶意软件 NetSupport RAT。1715589018_6641cf9ab835957c69ac5.png!small?1715589021175

根据网络安全公司 eSentire 发布的一份报告来看,黑客组织 FIN7 在 Google Ads 传播恶意软件活动中主要冒充了包括 AnyDesk、WinSCP、BlackRock、Asana、Concur、《华尔街日报》、Workable 和 Google Meet 等在内的众多知名众品牌。

FIN7 网络犯罪团伙(又名 Carbon Spider 、Sangria Tempest)自 2013 年“出道”以来一直非常活跃。最初,该组织主要针对销售终端(PoS)设备开展攻击活动,窃取支付数据。后来,逐渐转向通过部署勒索软件,袭击大型公司以获取赎金。

多年来,FIN7 网络犯罪团伙已经多次改进其战术和恶意软件库,采用了 BIRDWATCH、Carbanak、DICELOADER(又名 Lizar 和 Tirion)、POWERPLANT、POWERTRASH 和 TERMITE 等各种自定义恶意软件。

FIN7 网络犯罪团伙使用的技术手段

2023 年 12 月,微软宣布观察到了 FIN7 网络犯罪团伙依赖谷歌广告诱导用户下载恶意的 MSIX 应用程序包,一旦安装就会执行一个基于 PowerShell 的内存驱动程序 POWERTRASH,用于加载 NetSupport RAT和 Gracewire。

微软还表示,FIN7 黑客组织是一个以金钱为“动机”的网络犯罪团伙,目前专注于开展网络入侵活动,通过盗窃、加密受害者的数据信息,直接向受害者索要大量钱财,或者通过部署勒索软件,"慢慢"讹诈受害者。

据悉,目前已经有多个威胁攻击者滥用 MSIX 作为恶意软件的分发媒介 ,研究人员表示黑客组织都喜欢用的原因或许是其能够绕过 Microsoft Defender SmartScreen 等安全机制。

网络安全公司 eSentire 在 2024 年 4 月观察到的网络攻击活动中发现,用户通过谷歌广告访问假冒网站时,会显示一个弹出消息,敦促他们立刻下载一个假的浏览器扩展(其中包含一个 PowerShell 脚本的 MSIX 文件)该脚本会收集系统信息。此后,会联系远程服务器获取另一个编码的 PowerShell 脚本(第二个 PowerShell 有效载荷会下载和执行 NetSupport RAT)。

Malwarebytes 也观察到了类似的恶意活动 ,并将网络攻击活动“描述”成通过模仿 Asana、BlackRock、CNN、Google Meet、SAP 和《华尔街日报》等知名品牌的恶意广告和模态窗口,针对企业用户,发起大规模网络攻击。值得一提的是,Malwarebytes  并没有将这一攻击活动归咎在 FIN7 身上。

最糟糕的是,赛门铁克指出,恶意软件一旦安装,通常会在任务调度程序中注册命令以保持持久性,即使在删除后也能持续安装新的恶意软件。

参考文章:

https://thehackernews.com/2024/05/fin7-hacker-group-leverages-malicious.html

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/news/400742.html
如有侵权请联系:admin#unsafe.sh