FIN7利用网络钓鱼攻击针对一家美国大型汽车制造商

在2023年底，黑莓研究人员发现了威胁行为者FIN7利用针对一家美国大型汽车制造商的定向网络钓鱼活动。FIN7针对公司IT部门的员工展开攻击，特别是那些具有更高级别行政权限的员工。攻击者利用一个免费的IP扫描工具的诱饵来感染系统，使用Anunak后门获取初始立足点，并利用“living-off-the-land”二进制文件、脚本和库（lolbas）。

FIN7是一个俄罗斯犯罪团伙（又名Carbanak），自2015年中期以来一直活跃，主要针对美国的餐饮、赌博和酒店行业，以窃取用于攻击或在网络犯罪市场出售的财务信息。

在BlackBerry分析的攻击中，威胁行为者使用了一个名为POWERTRASH的PowerShell脚本，这是对PowerSploit中的shellcode调用器进行的自定义混淆。在攻击中，威胁行为者利用了一种称为typosquatting的技术，他们使用了一个恶意URL“advanced-ip-sccanner.com”，伪装成合法网站“advanced-ip-scanner.com”，该网站提供免费的在线扫描服务。访问这个伪装的网站后，访问者会被重定向到“myipscanner.com”，然后再次被重定向到攻击者控制的Dropbox，从而下载了恶意可执行文件WsTaskLoad.exe到他们的系统中。

在执行时，该可执行文件启动了一个包含DLL、WAV文件和shellcode执行的复杂多阶段过程。这个过程的最终结果是加载和解密一个名为“dmxl.bin”的文件，其中包含了Anunak载荷。

威胁行为者使用WsTaskLoad.exe安装OpenSSH以维持持久性，他们使用计划任务来在受害者的机器上持久化OpenSSH。尽管历史数据显示FIN7通常使用OpenSSH进行横向移动，但在这次特定的攻击中没有检测到此类活动。

OpenSSH也被用于外部访问。“尽管这次活动涉及的战术、技术和程序（TTPs）在过去一年已有详细记录，但攻击者使用的OpenSSH代理服务器并未广为传播。” 

报告总结道，并提供了缓解和威胁指标（Indicators of Compromise）的建议。“黑莓认为，让个人和实体也能够识别这些主机并保护自己是明智之举。”

原文始发于微信公众号（黑猫安全）：FIN7利用网络钓鱼攻击针对一家美国大型汽车制造商