本文来自微信公众号“FreeBuf”,作者/小王斯基。
近日,网络安全研究人员发现黑客组织FIN7滥用Google Ads,散播、部署恶意软件NetSupport RAT。
根据网络安全公司eSentire发布的一份报告来看,黑客组织FIN7在Google Ads传播恶意软件活动中主要冒充了包括AnyDesk、WinSCP、BlackRock、Asana、Concur、《华尔街日报》、Workable和Google Meet等在内的众多知名众品牌。
FIN7网络犯罪团伙(又名Carbon Spider、Sangria Tempest)自2013年「出道」以来一直非常活跃。最初,该组织主要针对销售终端(PoS)设备开展攻击活动,窃取支付数据。后来,逐渐转向通过部署勒索软件,袭击大型公司以获取赎金。
多年来,FIN7网络犯罪团伙已经多次改进其战术和恶意软件库,采用了BIRDWATCH、Carbanak、DICELOADER(又名Lizar和Tirion)、POWERPLANT、POWERTRASH和TERMITE等各种自定义恶意软件。
FIN7网络犯罪团伙使用的技术手段
2023年12月,微软宣布观察到了FIN7网络犯罪团伙依赖谷歌广告诱导用户下载恶意的MSIX应用程序包,一旦安装就会执行一个基于PowerShell的内存驱动程序POWERTRASH,用于加载NetSupport RAT和Gracewire。
微软还表示,FIN7黑客组织是一个以金钱为「动机」的网络犯罪团伙,目前专注于开展网络入侵活动,通过盗窃、加密受害者的数据信息,直接向受害者索要大量钱财,或者通过部署勒索软件,「慢慢」讹诈受害者。
据悉,目前已经有多个威胁攻击者滥用MSIX作为恶意软件的分发媒介,研究人员表示黑客组织都喜欢用的原因或许是其能够绕过Microsoft Defender SmartScreen等安全机制。
网络安全公司eSentire在2024年4月观察到的网络攻击活动中发现,用户通过谷歌广告访问假冒网站时,会显示一个弹出消息,敦促他们立刻下载一个假的浏览器扩展(其中包含一个PowerShell脚本的MSIX文件)该脚本会收集系统信息。此后,会联系远程服务器获取另一个编码的PowerShell脚本(第二个PowerShell有效载荷会下载和执行NetSupport RAT)。
Malwarebytes也观察到了类似的恶意活动,并将网络攻击活动「描述」成通过模仿Asana、BlackRock、CNN、Google Meet、SAP和《华尔街日报》等知名品牌的恶意广告和模态窗口,针对企业用户,发起大规模网络攻击。值得一提的是,Malwarebytes并没有将这一攻击活动归咎在FIN7身上。
最糟糕的是,赛门铁克指出,恶意软件一旦安装,通常会在任务调度程序中注册命令以保持持久性,即使在删除后也能持续安装新的恶意软件。
