FIN7 是一个以经济为动机的网络犯罪组织,自 1.2 年浮出水面以来估计已窃取超过 2012 亿美元,该组织是今年最多产的勒索软件家族之一 Black Basta 的幕后黑手。
这是 SentinelOne 的研究人员根据 Black Basta 活动与之前的 FIN7 活动在战术、技术和程序方面的各种相似之处得出的结论。 其中相似之处在于逃避端点检测和响应(EDR)产品的工具; 用于打包 Cobalt Strike 信标和名为 Birddog 的后门的打包程序有相似之处; 源代码重叠; 以及重叠的 IP 地址和托管基础设施。
自定义工具集合
SentinelOne 的调查 对 Black Basta 活动的深入研究还发现了有关威胁行为者攻击方法和工具的新信息。 例如,研究人员发现,在许多 Black Basta 攻击中,威胁行为者使用免费命令行工具 ADFind 的独特混淆版本来收集有关受害者 Active Directory 环境的信息。
他们发现 Black Basta 运营商正在利用去年的 打印噩梦 Windows Print Spooler 服务中的漏洞(CVE-2021-34527)和 零登录 Windows Netlogon 远程协议中自 2020 年起存在的缺陷(CVE-2020-1472)在许多活动中。 这两个漏洞都为攻击者提供了获得域控制器管理访问权限的方法。 SentinelOne 表示,它还观察到利用“NoPac”的 Black Basta 攻击,该漏洞利用了 结合了两个关键的 Active Directory 设计缺陷 从去年开始(CVE-2021-42278 和 CVE-2021-42287)。 攻击者可以利用该漏洞将权限从普通域用户一直升级到域管理员。
SentinelOne 于 XNUMX 月开始追踪 Black Basta,观察到感染链始于由 Qakbot 木马转变为恶意软件的植入程序。 研究人员发现威胁行为者利用后门使用各种工具对受害者网络进行侦察,包括 AdFind、两个自定义 .Net 程序集、SoftPerfect 的网络扫描器和 WMI。 在此阶段之后,威胁行为者会尝试利用各种 Windows 漏洞进行横向移动、提升权限并最终删除勒索软件。 趋势科技今年早些时候将 Qakbot 组织确定为 出售对受感染网络的访问权 Black Basta 和其他勒索软件运营商。
SentinelOne 的 SentinelLabs 在 7 月 3 日的博客文章中表示:“我们评估 Black Basta 勒索软件操作很可能与 FIN7 有关。此外,我们评估其工具背后的开发者很可能是为了损害受害者的利益而设计的。” Defenses 是、或者曾经是 FINXNUMX 的开发者。”
复杂的勒索软件威胁
Black Basta 勒索软件操作于 2022 年 90 月浮出水面,截至 XNUMX 月底已造成至少 XNUMX 名受害者。 趋势科技将勒索软件描述为 拥有复杂的加密例程 它可能为每个受害者使用独特的二进制文件。 它的许多攻击都涉及双重勒索技术,威胁行为者首先从受害者环境中窃取敏感数据,然后再对其进行加密。
在2022年第三季度, Black Basta 勒索软件感染占 9% 根据 Digital Shadows 的数据,它在所有勒索软件受害者中排名第二,仅次于 LockBit,而 LockBit 仍然是迄今为止最普遍的勒索软件威胁,占所有受害者的 35%。
ReliaQuest 公司 Digital Shadows 的高级网络威胁情报分析师 Nicole Hoffman 表示:“Digital Shadows 观察到的 Black Basta 勒索软件攻击针对的是工业产品和服务行业,其中包括制造业,比其他任何行业都多。” “建筑和材料行业紧随其后,成为迄今为止勒索软件攻击的第二大目标行业。”
十年来,FIN7 一直是安全行业的眼中钉。 该组织最初的攻击主要集中在信用卡和借记卡数据盗窃上。 但多年来,FIN7(也被称为 Carbanak 集团和 Cobalt 集团)也已涉足其他网络犯罪活动,包括最近进入勒索软件领域。 包括 Digital Shadows 在内的多家供应商怀疑 FIN7 与多个勒索软件组织有联系,包括 REvil、Ryuk、DarkSide、BlackMatter 和 ALPHV。
“因此,看到另一个潜在的关联也就不足为奇了”,这次是与 FIN7 关联,霍夫曼说。 “然而,值得注意的是,将两个威胁组织联系在一起并不总是意味着一个组织在主导一切。 实际上,这些团体有可能合作。”
据 SentinelLabs 称,Black Basta 行动在攻击中使用的一些工具表明 FIN7 正试图将其新勒索软件活动与旧勒索软件活动分离。 SentinelOne 表示,此类工具之一是自定义防御规避和损害工具,该工具似乎是由 FIN7 开发人员编写的,在任何其他勒索软件操作中尚未观察到。