FIN7 黑客组卷土重来,与 DEV0950 合作进行勒索攻击
关键要点
FIN7 黑客组在两年休整后重新活跃,可能与 DEV0950 合作。两组共同推动 Clop 勒索病毒,针对多个受害者。FIN7 利用 DEV0950 工具攻破 PaperCut 关键漏洞。重新出现的活动还包括其他类型的网络攻击。FIN7 黑客组织在两年的沉寂后再次活跃,研究人员表示,该组织很可能与另一个臭名昭著的勒索软件团伙 DEV0950 合作,推行广泛传播的 Clop又名 Cl0p勒索病毒。微软安全团队的研究显示,这两个团伙已经联手进行了一系列最近的攻击行动,包括针对 Fortra GoAnywhere MFT 安全文件传输工具的攻击。
微软表示,FIN7其代号为 Sangria Tempest很可能与竞争对手 Clop 及其附属组织 DEV0950称之为 Lace Tempest联手。FIN7 利用 DEV0950 的工具攻击了关键的服务器漏洞 PaperCutCVE202327350,这一漏洞影响了全球数百万台计算机。
在 SC Media 的独家报道中,微软安全部门警告其 Defender 威胁情报平台的客户,DEV0950/Lace Tempest 工具被用作初步利用 PaperCut 漏洞的策略。从 2023 年 4 月开始,Lace Tempest 就开始使用 Sangria Tempest 工具。
“微软观察到 Lace Tempest 对 PaperCut 漏洞的利用,致使 Sangria Tempest 进行键盘活动。最近,Sangria Tempest 工具在 Lace Tempest 攻击中的使用,可能表明这两个团伙之间存在合作关系。”微软表示。
微软最早在其 Twitter 线索上发布消息,称这两个犯罪团伙可能在一场勒索攻击活动中协作。
“Clop 是 Sangria Tempest 多年来部署的最新勒索病毒。这一团伙在此之前还使用过 REvil 和 Maze,并曾管理现已退役的 DarkSide 和 BlackMatter 勒索软件操作。”微软在推特上表示。
外网加速器在为 Defender 威胁情报平台付费客户准备的报告中,微软透露尚未确定 Sangria Tempest 最近 Clop 勒索软件部署的初始访问向量模式。然而,他们指出,一旦该团伙获得系统访问权限,就会开始使用自定义的高度混淆 PowerShell 脚本名为 POWERTRASH,该脚本用于反射加载额外的 Payload,在这种情况下是一个嵌入的 Lizar或 Diceloader动态链接库DLL。
“反射加载通过在进程内存中指定和启动 Payload,来隐蔽 Payload 的启动,而不是在磁盘上。”Defender 威胁情报报告中写道。“Lizar 是一个后利用工具包,来源于该团伙,可以帮助他们获得受损环境的立足点。”
微软还指出,FIN7/Sangria Tempest 与 DEV0950/Lace Tempest 之间的联系,表明 Lace Tempest 在针对 PaperCut 服务器的活动中也采用了 POWERTRASH。根据一项已识别的 Lace Tempest 攻击,该团伙使用 POWERTRASH 来交付 Lizar。
一旦 Sangria Tempest 在受损系统中建立立足点,就会利用商用工具如 OpenSSH 来实现持久性,并使用 Impacket 进行横向移动、Windows 凭证转储和远程启动。 FIN7 将 OpenSSH 安装在 CWindowsOpenSSH 中,而非常规的 System32 路径。
该团伙使用 Impacket 的 Windows 管理工具WMI模块,从 CWindowsTemp 远程启动 PowerShell 脚本,以从同一文件夹部署 Clop 勒索软件 Payload。Sangria Tempest 将 Payload 重命名为 winexe,并在启动后删除 PowerShell 脚本和文本文件。
微软指出,Sangria Tempest 投放了一份赎金通知,声称已经从受损系统中窃取了数据。
“尽管该团伙历史上进行过双重勒
