查看原文
其他

FIN7 正在转向密码重置和软件供应链攻击

Ravie Lakshmanan 代码卫士 2022-05-23

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士团队



专栏·供应链安全

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。


随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。


为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。


注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。


Mandiant 公司最近发布分析报告指出,臭名昭著的网络犯罪团伙 FIN7 已将多种初始访问权限集成到软件供应链攻击中并使用被盗凭据。


分析指出,“FIN7 在多家组织机构中分发了勒索软件部署,这表明FIN7 组织长时间以来都和多种勒索软件运营之间存在关联。” FIN7 组织自2010年代中期出现以来就通过信用卡窃取恶意软件攻击位于饭店、赌场和酒店行业的POS系统。

FIN7 组织的勒索变现策略和Recorded Future 公司 Gemini Advisory 发布的报告一致,该组织设立了虚假前台公司 Bastion Secure,招聘不明真相的渗透测试人员发动勒索攻击。

今年1月份早些时候,FBI 发布“闪电警告”,提醒组织机构称FIN 组织向位于交通、保险和国防行业的美国业务目标发送恶意USB驱动,通过勒索软件在内的恶意软件感染系统。

自2020年以来,FIN7 组织发动的入侵活动包括部署庞大的PowerShell 后门框架 POWERPLANT,研究人员指出,PowerShell 是FIN7 组织最喜欢的语言。在其中一次攻击中,FIN7攻陷出售数字化产品的网站,篡改多个下载链接使其指向包含 Atera Agent 在内的木马版本的 Amazon S3 存储桶,之后向受害者系统交付 POWERPLANT。该供应链攻击也标志着FIN7 组织不断演变的初始访问权限技术和第一阶段恶意软件payload 部署,这些payload 通常和钓鱼攻击有关。

FIN7 组织使用的其它工具包括侦查工具 EASYLOOK、用于绕过 Windows反恶意软件扫描接口的帮助台模块 BOATLAUNCH以及通过HTTP用于提取并执行下一阶段的二进制。

研究人员指出,“尽管美国司法部在2018年起诉了FIN7组织成员,并在2021年宣布了相关判决,但至少FIN7组织的一些成员仍然活跃并不断改进犯罪运营。在整个改进过程中,FIN7 组织提高了运营速度、扩大攻击范围,甚至还很有可能增强了和地下勒索组织之间的关系。”




代码卫士试用地址:https://codesafe.qianxin.com/
开源卫士试用地址:https://oss.qianxin.com






推荐阅读
在线阅读版:《2021中国软件供应链安全分析报告》全文攻击者“完全自动化”发动NPM供应链攻击
Pwn2Own大赛回顾:利用开源服务中的严重漏洞,攻陷西部数据My Cloud PR4100
Node-ipc 热门包作者投毒“社死‘’,谁来保护开源软件供应链安全?
因供应商遭不明网络攻击,丰田汽车宣布停产
Linux Netfilter 防火墙模块爆新漏洞,攻击者可获取root权限
丰田汽车顶级供应商 Denso 疑遭勒索攻击,被威胁泄露商业机密
漏洞Dirty COW:影响Linux系统以及安卓设备
第三方支付处理厂商软件有漏洞,日本美容零售商Acro 10万支付卡信息遭攻击
Linux 内核 cgroups 新漏洞可导致攻击者逃逸容器
谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞奖励加倍
Apache Cassandra 开源数据库软件修复高危RCE漏洞2021年软件供应链攻击数量激增300%+
热门开源CMS平台 Umbraco 中存在多个安全漏洞,可使账户遭接管
详细分析开源软件项目 Ajax.NET Professional 中的RCE 漏洞(CVE-2021-23758)
SAP 严重漏洞可导致供应链攻击
Apache PLC4X开发者向企业下最后通牒:如不提供资助将停止支持
Apache 软件基金会:顶级项目仍使用老旧软件,补丁作用被削弱
美国商务部发布软件物料清单 (SBOM) 的最小元素(上)
美国商务部发布软件物料清单 (SBOM) 的最小元素(中)
美国商务部发布软件物料清单 (SBOM) 的最小元素(下)
NIST 发布关于使用“行政令-关键软件”的安全措施指南
NIST 按行政令关于加强软件供应链安全的要求,给出“关键软件”的定义及所含11类软件SolarWinds 攻击者再次发动供应链攻击
美国“加强软件供应链安全实践的指南” (SSDF V1.1草案) 解读来了
软件供应链安全现状分析与对策建议
“木马源”攻击影响多数编程语言的编译器,将在软件供应链攻击中发挥巨大作用GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞
流行的 NPM 包依赖关系中存在远程代码执行缺陷
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司开源软件漏洞安全风险分析
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市
热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码
GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥
因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露
彪马PUMA源代码被盗,称客户数据不受影响


原文链接

https://thehackernews.com/2022/04/fin7-hackers-leveraging-password-reuse.html


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存