FIN7駭客使用Windows 11主題檔案植入Javascript後門

最近的一波“魚叉式網路釣魚”活動利用帶有Visual Basic宏的武器化Windows 11 Alpha 主題Word文件，針對位於美國的銷售點(PoS)服務提供商投放惡意負載，包括植入JavaScript程式。

據網路安全公司Anomali研究人員稱，這些攻擊發生在2021年6月下旬至7月下旬之間，被認為是出於經濟動機的威脅行為者FIN7。

Anomali Threat Research在9月2日釋出的技術分析中表示：“Clearmind 域的特定目標與FIN7的首選作案手法十分吻合。”該組織的目標似乎是提供FIN7至少從2018年就開始使用的JavaScript後門的變體。

FIN7是一家早在2015年中期就開始活躍的東歐集團，曾以美國的餐飲、酒店行業未目標，竊取信用卡和簽帳金融卡號碼等金融資訊，然後在地下市場上使用或出售這些資訊牟利。

儘管自今年年初以來，該集體的多名成員因在不同網路攻擊活動中被監禁，但鑑於其 TTP類似，FIN7的活動也與另一個名為Carbanak的團體有關，主要區別在於FIN7專注於款待和零售部門，Carbanak已經針對銀行機構。

在Anomali觀察到的最新攻擊中，感染始於Microsoft Word惡意文件，其中包含一個據稱是“在 Windows 11 Alpha上製作的”誘餌影像，敦促接收者啟用宏以觸發下一階段的活動，包括執行一個嚴重混淆的VBA宏，用於檢索JavaScript負載，已發現該負載與 FIN7使用的其他後門共享類似的功能。

除了採取幾個步驟透過用垃圾資料填充程式碼來阻止分析之外，VB指令碼還會檢查它是否在VirtualBox和VMWare等虛擬化環境下執行，如果是，除了停止感染鏈外，還會自行終止在檢測到俄語、烏克蘭語或其他幾種東歐語言時。

後門對FIN7的歸因源於威脅行為者採用的受害者學和技術的重疊，包括使用基於 JavaScript的有效載荷來掠奪有價值的資訊。

研究人員表示：“FIN7 是最臭名昭著的經濟動機團體之一，因為他們透過多種技術和攻擊面竊取了大量敏感資料。” “過去幾年，這個威脅組織的形勢一直動盪不安，因為隨著成功和惡名的到來，當局的目光始終保持著警惕。儘管受到了高調的逮捕和判刑，該組織仍然一如既往地活躍。”

近年來駭客發動網路攻擊的手段不斷翻新，攻擊技術不斷升級。企業屢屢遭受網路攻擊的困擾，一方面由於網際網路通訊協議本身的問題，更重要的是系統漏洞給駭客以可乘之機。研究顯示，超95%的企業系統存在嚴重的安全漏洞問題，這些問題將它們置於網路攻擊風險之中並可能導致大規模資料洩露。

為確保資料安全免遭網路攻擊，在加強網路安全意識的同時，更要從根本上解決軟體安全漏洞問題。資料顯示，90%的網路攻擊事件直接或間接由安全漏洞導致的，因此在軟體開發過程中加強對程式碼質量要求，使用 靜態程式碼檢測等工具發現並及時修改程式碼缺陷及漏洞，可以大大減少軟體安全漏洞數，提高軟體安全性。加強軟體安全是網路安全防禦手段的重要補充，透過強化軟體自身安全性，築牢網路安全根基。Wukong(悟空)靜態程式碼檢測工具，從原始碼開始，為您的軟體安全保駕護航!

參讀連結：