1. 首页
  2. 网络安全

FIN7相关人员被逮捕,但恶意活动仍在继续

FIN7相关人员被逮捕,但恶意活动仍在继续

去年,网络犯罪集团“FIN7”和“Carbanak”的主要犯罪者数名,被欧洲刑事警察组织(欧罗保罗)和美国司法部逮捕。各种报道机构都报道说该集团的活动被打上休止符,但本公司的专家仍在检测活动的迹象。——此外,使用类似工具包和相同基础设施的组群也越来越多。本文将介绍这些小组主要使用的工具和手段,并提供有关如何保护您的业务的建议。

FIN7

FIN7专注于攻击企业并访问财务数据和PoS系统。该集团通过利用高级社交工程技术进行的斯皮尔钓鱼活动。例如,预先将目标与普通信息进行多次交换,使其放松警惕,然后发送恶意文档。

在大多数情况下,使用包含宏的恶意文档在目标计算机上安装恶意软件。设定按指定日程表执行的任务,使恶意软件持续运行。此恶意软件接收模块并在系统内存中运行。我们有收集信息的模块、下载其他恶意软件的模块、用于拍摄屏幕截图的模块。检测在注册内保存相同恶意软件的其他实例(为了防备最初感染的恶意软件的情况)的模块。当然,罪犯可能会创建另一个模块。

CobaltGoblin/Carbanak/EmpireMonkey组

虽然使用的工具和手法相似,但也有目标不同的犯罪集团。该集团的目标是银行和银行、银行和结算软件的开发商。Carbanak(或CobaltGoblin、EmpireMonkey)组主要在目标网络内建立立足点。在此基础上,我们采取了寻找拥有可以用于金钱目的的信息的端点的战略。

AveMaria Botnet

AveMaria是用来窃取信息的新Botnet。受感染的机器只能从各种软件(如浏览器、邮件客户端和信使)收集凭证。也作为键记录器工作。

操纵这个botnet的犯罪团伙利用spy volushing、社交工程和恶意附件来送入有效载荷。本公司的专家认为,根据使用方法和命令与控制系统的相似性,该组和Fin7之间可能存在联系。另外,从目标的分布中也可以推测两者的联系。目标的30%是向大企业提供物品和服务的中小企业,21%是各种制造业.

复制粘贴

我们的专家发现了一系列名为“CopyPaste”的活动,这些活动以非洲某国的金融机构和企业为目标。参与该活动的人使用与Fin7类似的一些方法和工具。但是,仅使用开源工具就有可能与FIN7没有实质性联系。

有关技术信息的详细信息,如威胁痕迹(IoC),Securelist文章请看(英语)

对策

让我们使用具有检测并阻止网络钓鱼攻击的特殊功能的安全产品吧。Kaspersky Endpoint Security for Business包含保护企业内部邮件系统的应用程序。

引入对安全性的认知提高和实践性技能学习的训练。Kaspersky Security Awareness等程序有助于提高技能和模拟网络钓鱼攻击。

所有这些犯罪组织都充分利用了在企业IT环境中未安装补丁的系统。为了减少这些滥用空间,我们有可靠的修补策略,利用Kaspersky Endpoint Security for Business等安全产品,可以在重要的软件中自动应用补丁。

原创文章,作者:奈落,如若转载,请注明出处:https://www.zx116.com/?p=290

发表评论

电子邮件地址不会被公开。 必填项已用*标注