安全路透社
当前位置:安全路透社 > 网络转载 > 正文

FIN7 APT组织攻击最新活动分析

概述

2017年3月,黑客组织FIN7被曝光后销声匿迹了数月时间,但近期腾讯反病毒实验室检测到该APT组织又开始活跃,从2017年6月份以来,哈勃分析系统(https://habo.qq.com/)识别到该APT组织的多个样本,特别是10月份以来,该组织的渗透活动更加频繁。在最近几个月的时间中,该APT组织曾先后以call3、ru_vds1、new_public、translate1、private、Applebees为代号发起攻击活动。

FIN7组织的主要目标是国外金融机构,近期的攻击目标的也扩展到一些零售企业。该组织擅长使用非PE进行攻击,在攻击过程中很少有PE文件落地,同样,在此波的攻击活动中,该APT组织的主要的攻击载荷都是基于js脚本和powershell脚本进行,这在一定程度上躲避安全软件的查杀。

对该APT组织的概要如下:

攻击目标 金融机构,零售企业
攻击目的 窃取机密,获得经济利益
主要风险 商业机密文件被盗取
攻击入口 钓鱼邮件
使用漏洞
通信控制 https通信
受影响应用 Windows操作系统
分析摘要(TTP): 1.  发送定向钓鱼邮件,诱导访问者执行附件文档中的宏代码
2.  宏代码执行后,会解密文档控件中的文本,解密出来的内容为js脚本             类木马,通过wscript加载执行
3.  通过计划任务做持久化,计划任务到时后,与CC通信接收控制指令
4.  整个攻击过程中没有PE文件,一定程度上躲避安全软件查杀
5.  恶意代码可与nishang,empire等渗透框架结合,实现本地认证凭据提取,横向移动等功能

分析

在整个攻击过程中,攻击者以钓鱼邮件为初始攻击载荷,邮件内容如下:

1.png

在邮件附件文档中,使用了恶意宏代码,不同钓鱼文档的界面大体如下,值的一提的是使用汉堡图片做为诱饵文档时的攻击目标是一家国外的食品公司。

2.png

在FIN7早期使用的宏代码中,宏代码会直接写入计划任务(如下),但在最新的FIN7的恶意宏代码已经进行了细微的改变,宏代码中去掉了创建计划任务的代码,转而将创建计划任务的工作放到了下一阶段的js脚本中进行。

3.png

钓鱼文档中的恶意payload保存在控件的标题中,如下:

4.png

为了达到混淆的目的,这些恶意payload使用了“|*|”分隔,宏的功能就是将控件标题中的payload提取出来,并保存到临时目录crashpad.ini文件,并使用wscripte.exe加载保存到临时目录下的crashpad.ini文件

5.png

crashpad.ini实际上为js脚本文件,使用wscript运行crashpad.ini时使用的命令格式为:

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册