FIN11是一個(gè)有經(jīng)濟(jì)動(dòng)機(jī)的黑客組織，其歷史至少?gòu)?016年開始，它已經(jīng)調(diào)整了惡意電子郵件活動(dòng)，將其轉(zhuǎn)變?yōu)槔账鬈浖鳛橹饕挠绞健?/p>

該集團(tuán)運(yùn)營(yíng)著大量業(yè)務(wù)，最近主要針對(duì)北美和歐洲幾乎所有行業(yè)部門的公司竊取數(shù)據(jù)和部署Clop勒索軟件。

黑客早期的惡意活動(dòng)主要集中在金融、零售和餐飲業(yè)的組織上。在過去的幾年里，F(xiàn)IN11的攻擊在受害者類型和地理位置上都更加不分青紅皂白。

從8月開始，網(wǎng)絡(luò)犯罪分子攻擊了國(guó)防、能源、金融、醫(yī)療/制藥、法律、電信、技術(shù)和運(yùn)輸部門的組織。

FireEye公司Mandiant的安全研究人員告訴BleepingComputer，F(xiàn)IN11的目標(biāo)是向受害者發(fā)送惡意電子郵件，并分發(fā)他們跟蹤的惡意軟件下載程序FRIENDSPEAK。

他們使用各種誘餌，如匯款文件、發(fā)票遞送或公司獎(jiǎng)金的機(jī)密信息以及惡意的HTML附件，從一個(gè)可能是被破壞的網(wǎng)站加載內(nèi)容（iframe或嵌入標(biāo)簽），這些內(nèi)容通常帶有日期，表示放棄。

Mandiant威脅情報(bào)公司（Mandiant Threat Intelligence）的高級(jí)分析經(jīng)理金伯利·古迪（Kimberly Goody）告訴我們，受害者必須先完成驗(yàn)證碼挑戰(zhàn)，然后才能收到帶有惡意宏代碼的Excel電子表格。

一旦執(zhí)行，該代碼將交付FRIENDSPEAK，后者下載了另一個(gè)據(jù)信是FIN11特有的惡意軟件MIXLABEL。后者在許多情況下被配置為與模擬Microsoft Store（us Microsoft Store［［com）的命令和控制域聯(lián)系

古迪在電子郵件中說，這些策略在9月份的競(jìng)選活動(dòng)中非?；钴S，不過這位演員修改了Office文檔中的宏，還添加了地理圍欄技術(shù)。

Mandiant今天發(fā)布了FIN11活動(dòng)及其向勒索軟件過渡的概述。研究人員將該組織視為一個(gè)獨(dú)立的威脅參與者，注意到它在戰(zhàn)術(shù)、技術(shù)和TA505所使用的惡意軟件方面有著顯著的重疊。

TA505是另一個(gè)高調(diào)的網(wǎng)絡(luò)犯罪團(tuán)伙，部署了Clop勒索軟件。最近，它開始利用Windows中的zeroologon關(guān)鍵缺陷來獲取組織的域控制器的管理員級(jí)權(quán)限。

區(qū)分這兩個(gè)行為體的依據(jù)是觀察到的活動(dòng)，以及“在TA505上尚未公開報(bào)道的妥協(xié)后戰(zhàn)術(shù)、技術(shù)和程序（TTP）的不斷發(fā)展”

FIN11還使用了Faultedamyy，這是一個(gè)惡意軟件下載器，在來自TA505和沉默（一個(gè)針對(duì)世界各地銀行的黑客組織）的攻擊中都可以看到。這表明這三個(gè)組都有一個(gè)共同的惡意軟件開發(fā)人員。

盡管與TA505有很強(qiáng)的相似性，但將某些活動(dòng)歸因于FIN11是很困難的，因?yàn)檫@兩個(gè)組織都使用惡意軟件和犯罪服務(wù)提供商，這在某些情況下可能會(huì)導(dǎo)致錯(cuò)誤歸因。

Mandiant hass自2016年以來一直在跟蹤FIN11，并通過可獨(dú)立驗(yàn)證的觀察活動(dòng)對(duì)其進(jìn)行了定義。TA505至少?gòu)?014年開始就存在，研究人員并未將其早期操作歸因于FIN11。

賺錢策略

針對(duì)FIN11扔下Clop勒索軟件的事件，Mandiant發(fā)現(xiàn)演員在失去訪問權(quán)限后并沒有放棄目標(biāo)。

在一個(gè)案例中，幾個(gè)月后，他們通過多個(gè)電子郵件活動(dòng)重新危害了公司。在另一個(gè)案例中，F(xiàn)IN11在公司從備份中恢復(fù)受感染的服務(wù)器后重新獲得了訪問權(quán)限。

研究人員沒有具體說明他們所調(diào)查的事件的贖金要求，但指出勒索軟件補(bǔ)救公司Coveware指出，贖金數(shù)額在幾十萬到一千萬美元之間。

Mandiant說，有一次他們沒有部署Clop勒索軟件，演員試圖勒索受害者，威脅說要發(fā)布或出售被盜數(shù)據(jù)。

基于CIS的參與者

根據(jù)他們的分析，研究人員對(duì)FIN11來自獨(dú)立國(guó)家聯(lián)合體（獨(dú)聯(lián)體-前蘇聯(lián)國(guó)家）有適度的信心。

支持這一評(píng)估的是俄語文件元數(shù)據(jù)，僅在獨(dú)聯(lián)體國(guó)家以外使用鍵盤布局的機(jī)器上部署Clop勒索軟件，并且在俄羅斯新年和東正教圣誕節(jié)期間活動(dòng)減少。

Mandiant認(rèn)為，F(xiàn)IN11“能夠訪問的組織網(wǎng)絡(luò)遠(yuǎn)遠(yuǎn)超過他們能夠成功盈利的數(shù)量”，并根據(jù)受害者的位置、地理位置和安全態(tài)勢(shì)來選擇是否值得利用。

由于數(shù)據(jù)盜竊和勒索現(xiàn)在已成為其貨幣化方法的一部分，F(xiàn)IN11可能會(huì)對(duì)擁有敏感專有數(shù)據(jù)的受害者表現(xiàn)出更大的興趣，這些數(shù)據(jù)有更高的幾率支付贖金來恢復(fù)他們的文件。
責(zé)編AJX