一个以恶意软件活动而闻名的资金驱动型攻击组织FIN11，已经研究出了专注于勒索软件和勒索的策略。

据FireEye的Mandiant威胁情报团队称，该组织至少自2016年以来就参与了一系列 *** 犯罪活动，其中包括利用组织 *** 获取资金，此外还针对金融、零售、餐厅以及制药行业的销售点（POS）部署了恶意软件。

Mandiant说：“最近最常见的FIN11攻击通过分发CLOP勒索软件导致数据被盗、勒索和破坏受害者 *** 。”

尽管FIN11在过去的活动与诸如FaultedAmyy、FRIENDSPEAK和MIXLABEL等恶意软件有关，但Mandiant指出，TTP与另一个威胁组织TA505有着显著重叠。TA505是Dridex银行木马和Locky勒索软件的幕后黑手，它们通过Necurs僵尸 *** 进行恶意垃圾邮件攻击。

今年3月早些时候，微软策划了摧毁Necurs僵尸 *** 的行动，试图阻止攻击者的进一步活动。

大量恶意垃圾邮件活动

除了利用大量恶意电子邮件分发机制外，FIN11还将其目标扩展到本地语言诱饵，再加上伪造的电子邮件发送者信息，如伪造的电子邮件显示名称和电子邮件发送者地址，以使消息看起来更合法。在2020年，他们更倾向于攻击德国的组织。

例如，该组织在2020年1月发起了一场电子邮件活动，邮件主题包括“research report N-[five-digit number]”和“laboratory accident”，随后，他们在3月发起了第二波攻击，主题为“[pharmaceutical company name] 2020 YTD billing spreadsheet.”。

Mandiant威胁情报公司高级技术分析师Andy Moore通过电子邮件向The Hacker News表明：FIN11的高容量电子邮件分发活动在不断演变。

“有大量公开报告表明，2018年的某个时期，FIN11严重依赖Necurs僵尸 *** 进行恶意软件分发。值得注意的是，观察到的Necurs僵尸 *** 停机时间与FIN11的活动停滞直接对应。”

事实上，根据Mandiant的研究，从2020年3月中旬到2020年5月下旬，FIN11的活动似乎已经完全停止，但是在6月再次通过包含恶意HTML附件的钓鱼电子邮件来发送恶意Microsoft Office文件。

Office文件则利用宏来获取MINEDOOR dropper和FRIENDSPEAK downloader，然后将MIXLABEL后门发送到受感染的设备上。

向混合勒索转变

然而，近几个月来，FIN11的货币化努力导致一些组织感染了CLOP勒索软件，此外他们还采取了混合勒索攻击——将勒索软件与数据盗窃相结合，以迫使企业支付从几十万美元到百万美元不等的勒索账单。

Moore说：“FIN11通过勒索软件和勒索手段将入侵行为货币化，这在有经济动机的攻击者中呈现出更广泛的趋势。”

“历史上比较常见的货币化策略，例如部署销售点恶意软件，限制了攻击者以某些行业的受害者为目标，而勒索软件的分发可以让攻击者入侵几乎任何组织的 *** ，然后从中获利。”

“这种灵活性，再加上越来越多关于赎金不断膨胀的报道，极大地吸引了有经济动机的攻击者”他补充道。

更重要的是，据称FIN11使用了从地下论坛购买的各种工具（例如FORKBEARD, SPOONBEARD和MINEDOOR），因此很难进行归因。

攻击者可能是CIS出身

至于FIN11的根源，Mandiant表示，由于存在俄语文件元数据，避免在CIS国家部署CLOP，因此该组织在CIS国家之外开展业务。而且，1月1日至8日，俄罗斯新年和东正教圣诞节期间的活动急剧减少。

Moore说：“除非对他们的运营造成某种干扰，否则FIN11极有可能继续部署勒索软件，窃取数据用于勒索。”

“由于该组织定期更新其TTP，以逃避检测并提高其活动的有效性，这些渐进性的变化也可能继续下去。然而，尽管最近的活动中，FIN11始终依赖于嵌入的Office文档的恶意更改”。

“我们可以通过培训用户识别 *** 钓鱼电子邮件、禁用Office宏以及为FRIENDSPEAK downloader执行检测，将被FIN11危害的风险降至更低。”

稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。

本文由 HackerNews.cc 翻译整理，

转载请注明“转自 HackerNews.cc ” 并附上原文链接。