据观察,出于经济动机的威胁行为者FIN7利用欺骗合法品牌的恶意 Google 广告作为提供 MSIX 安装程序的手段,最终部署NetSupport RAT。
网络安全公司 eSentire在本周早些时候发布的一份报告中表示: “威胁行为者利用恶意网站冒充知名品牌,包括 AnyDesk、WinSCP、BlackRock、Asana、Concur、华尔街日报、Workable 和 Google Meet。”
FIN7(又名 Carbon Spider 和 Sangria Tempest)是一个持续存在的电子犯罪组织,自 2013 年以来一直活跃,最初涉足针对销售点 (PoS) 设备的攻击以窃取支付数据,后来转向通过勒索软件活动破坏大型公司。
多年来,威胁行为者改进了其策略和恶意软件库,采用了各种 自定义恶意软件系列,例如 BIRDWATCH、Carbanak、DICELOADER(又名 Lizar 和 Tirion)、POWERPLANT、POWERTRASH 和 TERMITE 等。
FIN7 恶意软件通常通过鱼叉式网络钓鱼活动部署,作为目标网络或主机的入口,尽管最近几个月该组织已利用恶意广告技术来启动攻击链。
2023 年 12 月,微软表示,它观察到攻击者依靠 Google 广告来引诱用户下载恶意 MSIX 应用程序包,最终导致 POWERTRASH 的执行,这是一种基于 PowerShell 的内存植入程序,用于加载 NetSupport RAT 和 Gracewire。
“Sangria Tempest […] 是一个出于经济动机的网络犯罪组织,目前专注于进行通常导致数据盗窃的入侵,然后进行有针对性的勒索或勒索软件部署,例如 Clop 勒索软件,”这家科技巨头当时指出。
多个威胁参与者滥用 MSIX 作为恶意软件分发媒介(可能是因为它能够绕过 Microsoft Defender SmartScreen 等安全机制),这促使 Microsoft 默认禁用该协议处理程序。
在 eSentire 于 2024 年 4 月观察到的攻击中,通过 Google 广告访问虚假网站的用户会看到一条弹出消息,敦促他们下载虚假的浏览器扩展程序,该扩展程序是一个包含 PowerShell 脚本的 MSIX 文件,该脚本反过来会收集系统信息并联系远程服务器以获取另一个编码的 PowerShell 脚本。
第二个 PowerShell 负载用于从参与者控制的服务器下载并执行 NetSupport RAT。
这家加拿大网络安全公司表示,它还检测到远程访问木马被用来传播其他恶意软件,其中包括通过 Python 脚本传播的 DICELOADER。
eSentire 表示:“FIN7 利用受信任的品牌名称并使用欺骗性网络广告分发 NetSupport RAT,然后是 DICELOADER 的事件凸显了持续的威胁,特别是这些行为者滥用已签名的 MSIX 文件,这已被证明在他们的计划中是有效的。”
Malwarebytes 也独立报告了类似的发现,该公司将这一活动描述为通过模仿 Asana、BlackRock、CNN、Google Meet、SAP 和《华尔街日报》等知名品牌,通过恶意广告和模式来挑选企业用户。不过,该公司并未将此次活动归咎于 FIN7。
FIN7 恶意广告计划的消息与旨在针对业务合作伙伴的SocGholish (又名 FakeUpdates)感染浪潮同时发生。
eSentire表示:“攻击者使用离地技术来收集敏感凭证,特别是在电子邮件签名和网络共享中配置网络信标,以绘制本地和企业对企业关系。” “这种行为表明有兴趣利用这些关系来瞄准感兴趣的商业伙伴。”
此前还发现了针对 Windows 和 Microsoft Office 用户的恶意软件活动,通过流行软件的破解来传播 RAT 和加密货币挖矿程序。
博通旗下的赛门铁克表示:“恶意软件一旦安装,通常会在任务调度程序中注册命令以保持持久性,即使在删除后也能持续安装新的恶意软件。”
