出于经济动机的黑客组织 FIN7 针对一家美国大型汽车制造商,向 IT 部门的员工发送鱼叉式网络钓鱼电子邮件,以利用 Anunak 后门感染系统。
据黑莓研究人员称,这次攻击发生在去年底,并且依赖于非本地二进制文件、脚本和库 (LoLBas)。攻击者将重点放在具有高级权限的目标上,通过伪造合法IP 扫描器工具的恶意 URL 链接来进行钓鱼攻击。
黑莓高度确信此次攻击是由 FIN7 发起的,因为该攻击使用了独特的 PowerShell 脚本,该脚本使用了签名“PowerTrash”混淆的 shellcode 调用程序,该脚本首次出现在 2022 年的一次活动中。
在此之前,FIN7 被发现以暴露的Veeam 备份和Microsoft Exchange服务器为目标,将Black Basta和Clop 勒索软件负载部署到企业网络上。
攻击链
FIN7 的攻击始于针对美国一家大型汽车制造商 IT 部门的高权限员工的鱼叉式网络钓鱼电子邮件。
电子邮件中的链接将指向“ advanced-ip-sccanner[.]com”,这是托管在“ advanced-ip-scanner.com ”上的合法扫描仪项目的威胁植入。
研究人员发现该虚假网站重定向到“myipscanner[.]com”(现已下线)。接下来,访问者将被带到一个 Dropbox 页面,该页面提供伪装成 Advanced IP Scanner 合法安装程序的恶意可执行文件(“WsTaskLoad.exe”)。
一旦执行,该文件就会触发一个涉及 DLL、WAV 文件和 shellcode 执行的多阶段进程,从而加载和解密名为“dmxl.bin”的文件,其中包含 Anunak 后门有效负载。
![黑客组织针对汽车制造商的IT员工发起网络钓鱼攻击]( "黑客组织针对汽车制造商的IT员工发起网络钓鱼攻击")
攻击链图
Anunak/Carbanak 是 FIN7 使用的几种恶意软件工具之一,其他工具还有 Loadout、Griffon、PowerPlant 和 Diceloader。
WsTaskLoad.exe还会安装 OpenSSH 以进行持久访问,并创建计划任务。FIN7 之前也使用 OpenSSH 进行横向移动,但黑莓研究人员表示在他们分析的活动中没有观察到这一点。
FIN7 自 2013 年以来就已存在,但直到最近几年才转向更大的目标,并且典型的最终有效负载是勒索软件。在勒索软件的背景下转向攻击大型组织是因为他们可以支付更高的赎金。
黑莓研究人员表示,FIN7 的攻击未能蔓延到最初受感染的系统并进入横向移动阶段,建议公司防御网络钓鱼,并提供适当的安全培训。对所有用户帐户实施多重身份验证 (MFA) 。使用强而独特的密码、保持所有软件更新、监控网络是否存在可疑行为以及添加高级电子邮件过滤解决方案等基线防御也有助于防范攻击者。
原文地址:https://www.bleepingcomputer.com/news/security/fin7-targets-american-automakers-it-staff-in-phishing-attacks/#google_vignette
图片来源:https://www.bleepingcomputer.com/news/security/fin7-targets-american-automakers-it-staff-in-phishing-attacks/#google_vignette
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
没看够~?欢迎关注!
分享本文到朋友圈,可以凭截图找老师领取
上千教程+工具+靶场账号哦
![黑客组织针对汽车制造商的IT员工发起网络钓鱼攻击]( "黑客组织针对汽车制造商的IT员工发起网络钓鱼攻击")
原文始发于微信公众号(掌控安全EDU):黑客组织针对汽车制造商的IT员工发起网络钓鱼攻击
评论