FIN7 2.0归来：“借尸还魂”的可疑组织们

2018年8月1日，美国司法部宣布逮捕了几名涉嫌与FIN7网络犯罪组织相关的嫌疑人。 FIN7从2015年起开始运营，曾针对数百家公司开展过入侵行动，FIN7的幕后策划者还通过开办假公司，雇佣远程测试人员、开发人员和翻译人员参与他们的恶意业务。其恶意活动的主要目的是窃取公司的金融资产（如借记卡），或取得财务部门的电脑权限和金融数据，进而盗取公司资金。

在2018年至2019年期间，卡巴斯基实验室分析了以往与FIN7相同TTPs（战术、技术和过程）的各类行动，得出的结论让研究人员确信：虽然FIN7的相关行为人已被逮捕，但并不意味着FIN7活动的终结。此外，在调查过程中，我们发现了某（些）恶意组织似乎复制了FIN7的套路。

最近的FIN7活动

去年一整年，FIN7把精力都集中在了鱼叉式钓鱼活动上，FIN7的钓鱼活动往往具有高针对性，在多起案例中我们看到，FIN7在发送恶意文件前会与受害者交换数周的信息。2018年，FIN7光是在钓鱼活动中使用的一个域名就包含130多个电子邮件别名，说明应该是有超过130家公司成为了他们的攻击目标。

恶意文件

我们已经看到两种类型的钓鱼文件。第一种利用Microsoft Word的INCLUDEPICTURE功能获取有关受害者计算机的上下文信息、Microsoft Word的可用性和版本号。第二种在多数情况下是设置了简单密码的Office文档（例如“12345”，“1234”等），利用宏在目标计算机上植入GRIFFON，宏也会调度任务以使GRIFFON持久化。

并且，FIN7还会利用公开发表的、关于其他恶意组织攻击手段的一些研究报告，来改进他们的手法。比如FIN7可能就参考了Cobalt组织（一个专门破坏网络金融机构和银行的威胁阻止）ThreadKit工具，来开发他们的恶意Office文档构建器，在2018年夏季他们曾使用过这个工具。新的构建器能在Author和Company元数据字段中插入随机值，还能让攻击者修改威胁指标，例如wscript.exe或sctasks.exe副本的文件名等。

表1.从使用sctasks实现GRIFFON持久性的文档中提取威胁指标

表2.从与GRIFFON相关的常规文档中提取的威胁指标

GRIFFON 植入

图1.Griffon恶意软件攻击模式

GRIFFON是一种轻量级、校验器样式的JScript，没有任何持久性机制。它是为接收模块而设计的，这些模块将在内存中执行，并将结果发送到C2。在调查过程中，我们得到了四个不同的模块。

侦察模块

GRIFFON恶意软件下载到受害者计算机的第一个模块是用于信息收集的JScript，能让攻击者了解受感染工作站的上下文。该模块主要依靠WMI和Windows对象来传递结果，并将结果发送回攻击者。在侦察阶段，该模块会从系统中检索了20多个部分，从操作系统安装的日期时间、到Windows域中的成员关系、再到工作站监视器的列表和分辨率等。

Meterpreter下载器

攻击者使用第二个模块来执行一个混淆的PowerShell脚本，该脚本包含一个被称为“Tinymet”的Meterpreter下载器。在过去的FIN7活动中我们也看到过这个下载器，它会下载一个单字节、经过异或加密的meterpreter shellcode来执行。

截图模块

第三个模块允许攻击者截取远程系统的屏幕截图。为此，它将PowerShell脚本放到工作站上去执行，该脚本会执行用于截取屏幕截图的开源.NET类。生成的屏幕截图保存在“%TMP%/image.png”，由GRIFFON发送回攻击者后自行删除。

持久性模块

最后检索到的模块是一个持久性模块。如果受害者对攻击者有价值，GRIFFON植入安装程序就会被推送到受害者的工作站。此模块将GRIFFON植入的另一个实例存储在注册表中以实现持久性，这是一种PowerLinks样式的方法，用于在每个用户登录时实现持久性并执行GRIFFON植入。新的GRIFFON在每次执行之前都被写入硬盘驱动器，从而做到了“无文件”感染。

GRIFFON不仅体量轻，而且结构也是模块化的，堪称完美的校验器。尽管我们已经检索出四个不同的模块，但FIN7可能在他们的 工具 集中有更多的模块来实现他们在受害者工作站上的目标。

寻找GRIFFON基础设施

攻击者往往都会露出蛛丝马迹，FIN7也不例外。去年，操作人员犯的一个主要错误使我们能够跟踪GRIFFON植入的命令和控制服务器。为了欺骗蓝队和其他DFIR分析师，FIN7在他们的C2s服务器上创建了假的HTTP 302重定向到各种Google服务。

HTTP/1.1 302 Found
Server: nginx
Date: [retracted]
Content-Type: text/html; charset=UTF-8
Content-Length: 0
Connection: keep-alive
Location: https://cloud.google.com/cdn/

上述代码说明，在端口443上会返回大多数GRIFFON C2s服务器的标头。

这个错误让我们可以一周周地跟踪FIN7的基础设施，直到2018年12月底，有人在Twitter上推出了跟踪C2的启发式算法。在这条推文发布几天后，也就是2019年1月，FIN7就立刻改变了登陆页面以防跟踪。

假冒的渗透测试公司

在与GRIFFON基础设施相关的调查过程中，我们发现GRIFFON C2的WHOIS旧记录与假公司网站之间存在奇怪的重叠。

据该网站称，该域名属于某个“俄罗斯政府全资拥有”的合法安全公司，并在“莫斯科，圣彼得堡和叶卡捷琳堡”设有办事处，但地址却显示该公司位于纽约的特朗普大厦。鉴于FIN7之前也有假冒证券公司的经历，我们决定再次深入挖掘。

当我们查看网站的内容时，明显能看出几乎所有使用的文本都是从合法的安全公司网站中提取的。短语和句子从以下公司网站中复制粘贴：

DKSec – www.dksec.com
OKIOK – www.okiok.com/services/tailored-solutions
MainNerve – www.mainnerve.com
Datics – www.datatics.com/cyber-security
Perspective Risk – www.perspectiverisk.com
Synack – https://www.synack.com/company
FireEye – https://www.fireeye.com/services/penetration-testing.html

看上去FIN7在利用这家公司招聘新人翻译、开发人员和测试人员。我们在招聘网站上也发现了该公司的各类招聘广告。

除此之外，该公司工作人员的简历中，大多都有提到在该公司工作的经历，其中一些人可能甚至不知道他们是在为网络犯罪业务工作。

FIN7与其他组织的联系

在2018年年末和2019年初，我们在跟踪犯罪分子活动时，发现有些组织在TTP上与FIN7有一定相似性，虽然没有明确证据表明他们和FIN7之间有关联，但我们还是决定在本文中披露这些可能性。

CobaltGoblin / EmpireMonkey

FIN7在历史上与Cobalt/EmpireMonkey的TTP有过多次重叠。他们主要针对各大银行及金融机构。在2018年底，该组织开始使用CobaltStrike和Powershell Empire在受害者的网络上立足。成功渗透后利用后门和CobaltStrike框架、Powershell Empire组件访问受害者机密信息并获利。

FIN7的最后一次行动针对的是欧洲和中美洲的银行，时间是今年早些时候，涉嫌从马耳他的瓦莱塔银行窃取1300万欧元。

图2.FIN7于2018年底至2019年初使用的恶意文档示例

Cobalt/EmpireMonkey与最近的FIN7活动中的重叠部分：

两者都使用宏将wscript.exe复制到以“ms”开头另一个文件中（mses.exe – FIN7，msutil.exe  – EmpireMonkey）。

两者都在％TEMP％中执行名为“error”的JScript文件（FIN7-Errors.txt，EmpireMonkey-Errors.bat）。

两者都使用了带有不同宏的DocuSign诱饵文档。即使宏代码完全不同，宏也会弹出相同的“文档解密错误”错误消息。

我们认为，虽然这两个活动集群是由不同的团队运营的，但对FIN7和Cobalt之间的历史关联性有很高的信心。

AveMaria

AveMaria是一个新的僵尸网络，我们在2018年9月发现了它的第一个版本，就在FIN7成员被捕之后。我们有充分理由相信该僵尸网络属于FIN7。AveMaria是一个典型的信息窃取bot程序，可以从各种类型的软件中收集所有凭据：浏览器，电子邮件客户端，信箱等，并且可以充当键盘记录器。自2019年初以来，我们已经收集了AveMaria1300多个样本，并提取了130多个C2。

为了传播他们的恶意软件，犯罪分子使用带有各种附件的钓鱼邮件：MS Office文档或利用CVE-2017-11882等已知漏洞的电子表格文件，或者使用Ole2Link和SCT的文档。它们还使用AutoIT dropper，受密码保护的EXE文件甚至ISO映像。在一些电子邮件中，他们会让目标用户在他们有任何问题的时候给他们打电话，这点跟FIN7一样。

图3.AveMaria使用电子邮件样本

在对FIN7的调查中，我们发现FIN7和AveMaria的基础设施之间有重叠。相同IP范围内的两台服务器和AS14576(自治系统)共享一个非标准SSH端口222。其中一个服务器是Griffon C2，另一个是AveMaria C2。

目标的分布则是另一个因验证素，我们在2019年2月和3月期间分析的AveMaria样本中，鱼叉式钓鱼邮件仅发送给企业，并没有针对个人，其中30％的目标是中小型公司，多是大型企业的供应商或服务提供商，21％是各类制造公司，以及几个典型的FIN7目标，如零售商和酒店。AveMaria目标有72%都在欧盟。

CopyPaste

在2018年底遥测搜索新的FIN7活动时，我们发现了一组活动，属于一个未知的APT组织，我们暂时将之称为“CopyPaste”，活动针对的是一个非洲国家的金融实体和公司。

这组活动依赖于开源工具(如Powershell Empire)和良好的红队技术，能在受害者的网络中站稳脚跟避免被发现。

以下是CopyPaste和FIN7的主要相似之处:

两者都使用了相同的Microsoft PowerShell参数混淆顺序:“powershell.exe -NoP -NonI -ExecutionPolicy Bypass”。我们只看到FIN7和CopyPaste使用这个参数列表来执行它们的恶意Powershell脚本。

两者都在他们的C2上使用了诱饵302 HTTP重定向和域名劫持技术，这点让人联想到Cobalt和FIN7。与CopyPaste相关联的Empire C2对Digitcert和Microsoft网站进行了诱饵重定向，利用伪造的就业或税务网站来托管其payload。FIN7和Cobalt也使用了诱饵302 HTTP重定向，FIN7在2018年1月之前的GRIFFON C2s上使用了FIN7，而Cobalt在登台服务器上使用了类似CopyPaste的方式。

最近，FIN7使用域名digicert-cdn [.] com对“Digicert”品牌进行了极大误导，该域名用作GRIFFON的命令和控制服务器，并且CopyPaste还使用他们的域名digicertweb [.] com和digi-cert [.] org对真正的“Digicert”进行了域名劫持，这两个域名都被用作Powershell Empire C2，并将诱饵HTTP 302重定向到合法的Digicert网站。

CopyPaste和FIN7之间的联系并不强烈。CopyPaste的行动可能受到了公开披露的研究报告的影响，与FIN7没有任何关系。

结论

2018年，欧洲刑警组织和美国司法部宣布逮捕了FIN7和Carbanak / CobaltGoblin网络犯罪组织的领导人。虽然看似会对组织的运营产生影响，但最近的数据表明，攻击仍在持续。CobaltGoblin和FIN7其旗下运营的团体数量可能甚至有扩大的趋势。我们观察到，有几个相互关联的群体在使用非常相似的工具包和相同的基础设施来进行网络攻击。

首先是著名的FIN7，它的攻击目标集中在各类公司的财务数据或PoS基础设施上，依靠了Griffon JS的后门，以及在最近的攻击中使用的Cobalt/Meterpreter的Powershell Empire。第二类是CobaltGoblin/Carbanak/EmpireMonkey，他们使用相同的工具包、技术和类似的基础设施，但只针对金融机构和相关软件/服务提供商。

我们认为AveMaria僵尸网络与这两个群体有一定的相关性:AveMaria的目标大多是大公司的供应商，并且AveMaria管理基础设施的方式与FIN7非常相似。而最近发现的CopyPaste组织和FIN7之间的关联性并不强。

上述所有组织都从未及时安装补丁的企业环境中获得了巨大的好处，因此，继续通过一些众所周知的MS Office漏洞、利用使用鱼叉式钓鱼攻击对他们来说是可行的。到目前为止，这些组织还没有利用过0 day漏洞。

FIN7 / Cobalt网络钓鱼文档可能看起来很简单，但用到了点上也能造成巨大的破坏影响，我们相信他们会继续创造一些掩人耳目的新手段来牟利。

IoC

AveMaria

· 185.61.138.249

· tain.warzonedns[.]com

· noreply377.ddns[.]net

· 185.162.131.97

· 91.192.100.62

· server.mtcc[.]me

· doddyfire.dyndns[.]org

· 212.8.240.116

· 168.167.45.162

· toekie.ddns[.]net

· warmaha.warzonedns[.]com

CopyPaste

· digi-cert[.]org

· somtelnetworks[.]com

· geotrusts[.]com

· secureclientupdate[.]com

· digicertweb[.]com

· sport-pesa[.]org

· itaxkenya[.]com

· businessdailyafrica[.]net

· infotrak-research[.]com

· nairobiwired[.]com

· k-24tv[.]com

FIN7/GRIFFON

· hpservice-cdn[.]com

· realtek-cdn[.]com

· logitech-cdn[.]com

· pci-cdn[.]com

· appleservice-cdn[.]com

· servicebing-cdn[.]com

· cisco-cdn[.]com

· facebook77-cdn[.]com

· yahooservices-cdn[.]com

· globaltech-cdn[.]com

· infosys-cdn[.]com

· google-services-s5[.]com

· instagram-cdn[.]com

· mse-cdn[.]com

· akamaiservice-cdn[.]com

· booking-cdn[.]com

· live-cdn2[.]com

· cloudflare-cdn-r5[.]com

· cdnj-cloudflare[.]com

· bing-cdn[.]com

· servicebing-cdn[.]com

· cdn-yahooapi[.]com

· cdn-googleapi[.]com

· googl-analytic[.]com

· mse-cdn[.]com

· tw32-cdn[.]com

· gmail-cdn3[.]com

· digicert-cdn[.]com

· vmware-cdn[.]com

· exchange-cdn[.]com

· cdn-skype[.]com

· windowsupdatemicrosoft[.]com

· msdn-cdn[.]com

· testing-cdn[.]com

· msdn-update[.]com

EmpireMonkey/CobaltGoblin

· (entity)-corporate[.]com

· (entity)-cert[.]com

· (entity)-no[.]org

· (entity)-fr[.]org

· (entity)-acquisition[.]org

· (entity)-trust[.]org

· riscomponents[.]pw

·nlscdn[.]com