Mandiant Threat Intelligence安全研究組織最近發(fā)現(xiàn)了一個(gè)高級攻擊組織Fin11，該組織專門以獲取經(jīng)濟(jì)利益為攻擊目標(biāo)，且大量使用惡意電子郵件活動(dòng)進(jìn)行勒索軟件和數(shù)據(jù)盜竊。

仔細(xì)閱讀Mandiant發(fā)布的報(bào)告，你就會(huì)發(fā)現(xiàn)在某些方面，F(xiàn)IN11類似于APT1，攻擊者引人注目的不是他們的老練，而是他們活動(dòng)的規(guī)模。在FIN11的釣魚操作中有很大的漏洞，但是當(dāng)活動(dòng)時(shí)，該組織每周會(huì)進(jìn)行多達(dá)五次的大流量活動(dòng)。雖然許多以金錢為動(dòng)機(jī)的威脅組織都是短命的，但FIN11至少從2016年起就開始進(jìn)行這種大規(guī)模的釣魚活動(dòng)。2017年至2018年，攻擊組織主要針對金融、零售和酒店行業(yè)的組織。然而，在2019年，F(xiàn)IN11的目標(biāo)擴(kuò)展到包括一系列不同的行業(yè)和地理區(qū)域。

Mandiant公司也對許多FIN11入侵事件做出了回應(yīng)，但研究人員僅觀察到該小組在少數(shù)情況下成功地通過訪問獲利。這可能意味著攻擊者在網(wǎng)絡(luò)釣魚操作中撒了一張大網(wǎng)，然后根據(jù)區(qū)域、地理位置或感知到的安全態(tài)勢等特征選擇進(jìn)一步利用哪些受害者。最近，F(xiàn)IN11已經(jīng)部署了CLOP勒索軟件，并威脅要公布泄露的數(shù)據(jù)，迫使受害者支付贖金。Clop是一類相對較新的勒索軟件，于今年2月首次出現(xiàn)在公眾視野中，Clop背后團(tuán)隊(duì)的主要目標(biāo)是加密企業(yè)的文件，收到贖金后再發(fā)送解密器，目前Clop仍處于快速發(fā)展階段。7月Clop在國際上(如韓國)開始傳播，而國內(nèi)某企業(yè)也在被攻擊后造成大面積感染。該惡意軟件暫無有效的解密工具，致該受害企業(yè)大量數(shù)據(jù)被加密而損失嚴(yán)重。FIN11轉(zhuǎn)變盈利方式從2018年的POS機(jī)惡意軟件，到2019年的勒索軟件，再到2020年的混合勒索，攻擊者越來越關(guān)注于攻擊后的勒索軟件部署和數(shù)據(jù)盜竊勒索。

值得注意的是，F(xiàn)IN11與另一個(gè)威脅組織TA505有著顯著重疊。TA505是Dridex銀行木馬和Locky勒索軟件的幕后黑手，它們通過Necurs僵尸網(wǎng)絡(luò)進(jìn)行惡意垃圾郵件攻擊。TA505網(wǎng)絡(luò)間諜組織主要針對全球金融機(jī)構(gòu)進(jìn)行攻擊，自2014年以來就一直保持活躍狀態(tài)，在過去的幾年里，該組織已經(jīng)通過利用銀行木馬Dridex以及勒索軟件Locky和Jaff作為攻擊工具成功發(fā)起了多起大型的網(wǎng)絡(luò)攻擊活動(dòng)。但研究人員發(fā)現(xiàn)TA505的早期活動(dòng)是和FIN11不同的，所以兩個(gè)組織并不是同一個(gè)開發(fā)者。和大多數(shù)以獲利為動(dòng)機(jī)的攻擊者一樣，F(xiàn)IN11也不是所有的開發(fā)都是從頭開始的。研究人員認(rèn)為，該組織使用的服務(wù)提供匿名域注冊，防彈主機(jī)(Bulletproof hosting)、代碼簽名證書以及私有或半私有惡意軟件，攻擊者將工作外包給這些犯罪服務(wù)提供商可能會(huì)使FIN11增加其業(yè)務(wù)的規(guī)模和復(fù)雜性。防彈主機(jī)(Bulletproof hosting)是指對用戶上傳和發(fā)布的內(nèi)容不加限制的一種網(wǎng)絡(luò)或域名服務(wù)，這種服務(wù)被通常利用來發(fā)垃圾郵件，在線賭博或網(wǎng)絡(luò)色情等。一般的網(wǎng)絡(luò)服務(wù)提供商會(huì)經(jīng)由服務(wù)條款對特定內(nèi)容或行為加以限制，為了防止自己的IP段被基于IP協(xié)議的反垃圾過濾器屏蔽而遭正常用戶投訴，也會(huì)中斷對違規(guī)用戶的服務(wù)。而防彈主機(jī)則允許內(nèi)容提供者繞過法律或本地的互聯(lián)網(wǎng)檢查機(jī)構(gòu)，所以大部分的防彈主機(jī)都在境外(相對于內(nèi)容提供者的地理位置)。

值得注意的是，微軟在今年三月早些時(shí)候策劃了摧毀Necurs僵尸網(wǎng)絡(luò)的行動(dòng)，目的是為了阻止運(yùn)營商注冊新域名以在未來實(shí)施進(jìn)一步的攻擊。今年3月微軟和來自35個(gè)國家的合作伙伴采取措施，搗毀世界上最大的網(wǎng)絡(luò)犯罪網(wǎng)絡(luò)背后的僵尸網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)Necurs已經(jīng)感染了全球約900萬臺(tái)電腦，它是最大的垃圾郵件網(wǎng)絡(luò)之一，在兩個(gè)月內(nèi)產(chǎn)生了380萬封垃圾郵件。微軟表示，這個(gè)行動(dòng)是八年計(jì)劃的結(jié)果。微軟及其打擊網(wǎng)絡(luò)犯罪的團(tuán)隊(duì)在2012年首次發(fā)現(xiàn)了Necurs，并在2014年發(fā)現(xiàn)該公司在宙斯(Zeus)系統(tǒng)上散布類似GameOver Zeus的惡意軟件。它可能參與了股票詐騙、假的醫(yī)藥垃圾郵件和“俄羅斯約會(huì)”詐騙，當(dāng)局認(rèn)為它是由俄羅斯網(wǎng)絡(luò)罪犯操作的。

大規(guī)模的惡意垃圾郵件活動(dòng)

FIN11除了利用大量的惡意電子郵件傳播機(jī)制外，還將其目標(biāo)范圍擴(kuò)展到了本地語言誘餌以及操縱的電子郵件發(fā)件人信息，例如欺騙性的電子郵件顯示名稱和電子郵件發(fā)件人地址，從而使郵件看起來更加合法。根據(jù)最近的追蹤分析，攻擊者對德國的2020年競選活動(dòng)很感興趣。

例如，攻擊者在2020年1月使用“research report N-[five-digit number]”和“laboratory accident”等郵件主題誘使用戶下載然后發(fā)起攻擊，隨后在3月又掀起了第二波以“[pharmaceutical company name] 2020 YTD billing spreadsheet.”為主題的釣魚攻擊。

Mandiant威脅情報(bào)公司的高級技術(shù)分析師Andy Moore明確表示：“FIN11的大規(guī)模電子郵件傳播活動(dòng)在攻擊過程中還在不斷迭代。雖然我們還沒有100%的證據(jù)，但有大量公開報(bào)道表明，直到2018年的某個(gè)時(shí)候，F(xiàn)IN11還嚴(yán)重依賴于Necurs僵尸網(wǎng)絡(luò)來傳播惡意軟件。值得注意的是，觀察到的Necurs僵尸網(wǎng)絡(luò)停機(jī)時(shí)間與FIN11的活動(dòng)停滯直接對應(yīng)。”

事實(shí)上，根據(jù)Mandiant的研究，從2020年3月中旬到2020年5月下旬，F(xiàn)IN11的操作似乎已經(jīng)完全停止，直到6月，通過含有惡意HTML附件的釣魚郵件，來發(fā)送惡意的微軟Office文件，F(xiàn)IN11才再次恢復(fù)運(yùn)行。

而Office文件則使用宏來獲取MINEDOOR dropper和FRIENDSPEAK downloader，后者隨后將MIXLABEL后門發(fā)送到感染的設(shè)備上。

向混合勒索方式轉(zhuǎn)變

然而，近幾個(gè)月來，F(xiàn)IN11為了加快獲利的步伐，使用了CLOP勒索軟件對目標(biāo)進(jìn)行攻擊，此外他們還采取了混合勒索攻擊，將勒索軟件與數(shù)據(jù)盜竊相結(jié)合，以迫使企業(yè)支付從幾十萬美元到百萬美元不等的勒索賬單。

Mandiant威脅情報(bào)公司高級技術(shù)分析師Andy Moore表示：“FIN11通過將勒索軟件和數(shù)據(jù)盜竊相結(jié)合進(jìn)而將入侵行為完全貨幣化，這在有經(jīng)濟(jì)動(dòng)機(jī)的攻擊者中呈現(xiàn)出更廣泛的發(fā)展趨勢。歷史上更常見的貨幣化策略，比如部署在特定攻擊點(diǎn)的惡意軟件，這回將攻擊者限制在特定行業(yè)的攻擊目標(biāo)，而勒索軟件的傳播可以讓攻擊者從入侵幾乎任何組織的目標(biāo)中獲利。

這種勒索獲利方法，讓旨在獲利最大化的攻擊者會(huì)更加瘋狂。

更重要的是，據(jù)說FIN11使用了從黑市論壇購買了各種各樣的工具例如FORKBEARD, SPOONBEARD和MINEDOOR)，因此很難對FIN11的攻擊類型進(jìn)行歸因。

至于FIN11的幕后團(tuán)隊(duì)，由于存在俄語文件元數(shù)據(jù)，且攻擊不會(huì)在獨(dú)聯(lián)體國家部署CLOP，因此該組織只能在獨(dú)聯(lián)體國家之外開展業(yè)務(wù)。而且，1月1日至8日，俄羅斯新年和東正教圣誕節(jié)期間的活動(dòng)急劇減少。因此Mandiant表示很可能是獨(dú)聯(lián)體的國家開發(fā)的。

除非對他們的運(yùn)營體系造成某種干擾，否則FIN11極有可能繼續(xù)部署勒索軟件和竊取數(shù)據(jù)，并進(jìn)而獲取更大的利潤。由于FIN11會(huì)定期更新其TTP，以逃避檢測并提高其攻擊的有效性。盡管有這些功能更改，但是，最近的FIN11活動(dòng)始終依靠使用嵌入在其中的宏惡意Office文檔來傳遞其有效載荷。與其他緩解措施實(shí)踐一起，組織可以通過培訓(xùn)用戶識(shí)別網(wǎng)絡(luò)釣魚電子郵件，禁用Office宏以及對FRIENDSPEAK下載器實(shí)施檢測，來最大程度地降低被FIN11危害的風(fēng)險(xiǎn)。

本文翻譯自：https://thehackernews.com/2020/10/fin11-hackers-spotted-using-new.html