Bleeping Computer 網(wǎng)站披露，上個月，出于經(jīng)濟動機的網(wǎng)絡(luò)犯罪集團 FIN7 再次浮出水面，微軟威脅研究人員將其與在受害者網(wǎng)絡(luò)上部署 Clop 勒索軟件有效載荷的攻擊活動聯(lián)系起來。

微軟安全情報部門表示網(wǎng)絡(luò)犯罪集團 FIN7（ELBRUS，Sangria Tempest）目前已經(jīng)擺脫了不活躍狀態(tài)。其實早在 2023 年 4 月，就有研究人員觀察到了 FIN7 在某些攻擊活動中部署了 Clop 勒索軟件，這是自 2021 年底以來， FIN7 第一次參與的勒索軟件活動。

在最近的攻擊活動中，F(xiàn)IN7 組織利用基于 PowerShell 的 POWERTRASH 內(nèi)存中惡意軟件植入程序在受感染的設(shè)備上部署 Lizar 后期開發(fā)工具，這使得威脅攻擊者能夠在目標(biāo)網(wǎng)絡(luò)中”站穩(wěn)腳跟“并橫向移動，以使用 OpenSSH 和 Impacke t部署 Clop 勒索軟件。

微軟指出在 REvil 和 Maze 參與 BlackMatter 和 DarkSide 勒索軟件即服務(wù)（Raas）業(yè)務(wù)之前（現(xiàn)已解散），F(xiàn)IN7 網(wǎng)絡(luò)犯罪團伙曾與它們有過聯(lián)系， Clop 勒索軟件只是其用來攻擊受害者的最新手段。

PaperCut 攻擊中使用的 FIN7 工具

值得一提的是，BleepingComputer 表示其看到的一份微軟私人威脅分析報告中顯示 FIN7 組織還與針對 PaperCu t 打印服務(wù)器的 Clop、Bl00dy 和 LockBit 勒索軟件的攻擊有關(guān)。

此外，微軟看到它追蹤的 FIN11 金融犯罪集團 Lace Tempest 采用了新的工具，包括該公司與 FIN7 相連的 inv.ps1 PowerShell 腳本，該腳本被用來部署 FIN7 的 Lizar 后期開發(fā)工具包，因此推測兩個威脅集團的運營商很可能最近開始合作或共享了攻擊工具。

FIN7活躍多年

2013 年以來，金融網(wǎng)絡(luò)犯罪組織 FIN7 就一直針對歐洲和美國餐館、賭博和酒店等不同領(lǐng)域的實體組織，開展網(wǎng)絡(luò)攻擊活動。美國聯(lián)邦調(diào)查局曾警本國企業(yè)， FIN7 協(xié)調(diào)的 USB 驅(qū)動器攻擊的目標(biāo)是美國國防工業(yè)，包裹中含有惡意的 USB 設(shè)備，旨在部署勒索軟件。

此外，F(xiàn)IN7 背后運營商還在類似的攻擊中冒充百思買，通過美國郵政向酒店、餐館和零售企業(yè)發(fā)送惡意閃存驅(qū)動器，這些包裹還捆綁了泰迪熊，欺騙目標(biāo)降低警惕。

隨著 FIN7 組織持續(xù)活躍，陸續(xù)有成員被捕。2021 年 4 月，F(xiàn)IN7 成員 Fedir Hladyr（一名高級經(jīng)理）被判處 10 年監(jiān)禁；2021 年 6 月，F(xiàn)IN7 成員 Andrii Kolpakov，被判處 7 年監(jiān)禁；2022 年 4 月，F(xiàn)IN7 成員 Denys Iarmak 因網(wǎng)絡(luò)入侵和信用卡盜竊被判處 5 年監(jiān)禁。盡管多年來一些 FIN7 成員持續(xù)被逮捕，但該黑客組織仍然活躍，并在不斷壯大。文章來源：

https://www.bleepingcomputer.com/news/security/microsoft-notorious-fin7-hackers-return-in-clop-ransomware-attacks/