近日，黑客組織 FIN7 針對美國一家大型汽車制造商的 IT 部門的員工發送了魚叉式釣魚郵件，并利用 Anunak 后門感染了該系統。

據黑莓公司的研究人員稱，該攻擊發生在去年年底，依賴于二進制文件、腳本和庫（LoLBas）。黑客重點攻擊了那些具有高級權限的員工，并通過鏈接到冒充合法的高級 IP 掃描器工具的惡意 URL 引誘他們“上鉤”。

黑莓公司根據使用獨特 PowerShell 腳本的情況，確信這些攻擊是 FIN7 所為，這些腳本使用了對方標志性的 "PowerTrash "混淆 shellcode 調用器，這種方式最早曾在 2022 年的一次攻擊活動中出現過。

之前FIN7 的目的是暴露 Veeam 備份和 Microsoft Exchange 服務器，同時在該企業的網絡中部署 Black Basta 和 Clop 勒索軟件。

FIN7使用魚叉式網絡釣魚電子郵件發起攻擊

FIN7 向美國某大型汽車制造商 IT 部門的多位高權限員工發送了魚叉式網絡釣魚電子郵件。郵件中包含 "advanced-ip-sccanner[.]com"鏈接，但事實上這其實是個虛假的 "advanced-ip-scanner.com "合法掃描儀項目。

研究人員發現，假冒網站會重定向到 "myipscanner[.]com"（現已下線）。訪問者接下來會被帶到一個提供惡意可執行文件（'WsTaskLoad.exe'）的 Dropbox 頁面，該文件偽裝成 Advanced IP Scanner 的合法安裝程序。

該文件一旦被執行，就會觸發一個涉及 DLL、WAV 文件和 shellcode 執行的多階段進程，從而加載并解密一個名為 "dmxl.bin "的文件，其中包含 Anunak 后門有效載荷。

攻擊鏈圖 圖源：黑莓

Anunak/Carbanak 是 FIN7 常用的惡意軟件工具，其他常用的還有 Loadout、Griffon、PowerPlant 和 Diceloader。

同時，WsTaskLoad.exe 安裝了 OpenSSH 以實現持久訪問，并創建了一個計劃任務。FIN7 以前也曾使用 OpenSSH 進行橫向移動，但黑莓公司稱在他們分析的活動中沒有發現這種情況。

為持久性創建計劃任務 圖源：黑莓

研究人員沒有透露受害組織的名稱，他們僅將其描述為 "一家位于美國的大型跨國汽車制造商"。FIN7 自 2013 年開始出現，但只是在過去幾年才轉向更大的目標，典型的最終有效載荷是勒索軟件。在勒索軟件的背景下，轉而攻擊更大的組織是合理的，因為它們可以支付更大的贖金。

黑莓公司表示，FIN7 的攻擊未能擴散到最初感染的系統之外，而是進入了橫向移動階段。建議該企業適當給員工提供有關網絡釣魚的安全培訓，降低安全風險。

同時，應在所有用戶賬戶上實施多因素身份驗證（MFA），即使攻擊者成功竊取了訪問憑證，也很難訪問員工的賬戶。此外，使用強大、唯一的密碼，保持所有軟件更新，監控網絡可疑行為，添加高級電子郵件過濾解決方案等基礎防御措施也有助于防范各類攻擊。

網絡釣魚數量激增且花樣百出

Egress 的最新報告提到，在眾多網絡安全問題中，網絡釣魚攻擊正大行其道。尤其是冒充攻擊普遍存在，其中有 77% 會偽裝成知名平臺進行詐騙攻擊，特別是 DocuSign 和 Microsoft 。社會工程策略愈演愈烈，占網絡釣魚攻擊的 16.8%，而網絡釣魚電子郵件的長度自 2021 年以來增長了三倍，這可能歸因于生成式 AI 的使用。

多渠道攻擊利用了工作消息傳遞應用程序的流行，特別是Microsoft Teams和Slack。總的來說，這些應用程序占此類攻擊第二步的一半。與上一季度相比，僅 Microsoft Teams 在 2024 年就大幅增長了 104.4%。

如今快速發展的人工智能也成為網絡犯罪的有力工具，滲透到攻擊的各個階段。該報告預測，在視頻和音頻格式中使用深度偽造將激增，從而放大了網絡攻擊的復雜性。

盡管技術取得了進步，但安全電子郵件網關 （SEG） 仍然落后，到 2024 年初，逃避檢測的攻擊增加了 52.2%。這凸顯了在面對不斷變化的威脅時采取適應性網絡安全措施的必要性。

據統計，千禧一代成為了網絡犯罪分子的主要目標，37.5%的網絡釣魚電子郵件將他們視為了攻擊目標。這種情況在金融、法律和醫療保健等領域尤為明顯。同時，社工攻擊策略也在不斷變化，比如圍繞情人節等事件的個性化定制攻擊，這也進一步凸顯了網絡威脅的演變。