FIN11是一個有經濟動機的黑客組織，其歷史至少從2016年開始，它已經調整了惡意電子郵件活動，將其轉變?yōu)槔账鬈浖鳛橹饕挠绞健?/p>

該集團運營著大量業(yè)務，最近主要針對北美和歐洲幾乎所有行業(yè)部門的公司竊取數(shù)據(jù)和部署Clop勒索軟件。

黑客早期的惡意活動主要集中在金融、零售和餐飲業(yè)的組織上。在過去的幾年里，F(xiàn)IN11的攻擊在受害者類型和地理位置上都更加不分青紅皂白。

從8月開始，網(wǎng)絡犯罪分子攻擊了國防、能源、金融、醫(yī)療/制藥、法律、電信、技術和運輸部門的組織。

FireEye公司Mandiant的安全研究人員告訴BleepingComputer，F(xiàn)IN11的目標是向受害者發(fā)送惡意電子郵件，并分發(fā)他們跟蹤的惡意軟件下載程序FRIENDSPEAK。

他們使用各種誘餌，如匯款文件、發(fā)票遞送或公司獎金的機密信息以及惡意的HTML附件，從一個可能是被破壞的網(wǎng)站加載內容（iframe或嵌入標簽），這些內容通常帶有日期，表示放棄。

Mandiant威脅情報公司（Mandiant Threat Intelligence）的高級分析經理金伯利·古迪（Kimberly Goody）告訴我們，受害者必須先完成驗證碼挑戰(zhàn)，然后才能收到帶有惡意宏代碼的Excel電子表格。

一旦執(zhí)行，該代碼將交付FRIENDSPEAK，后者下載了另一個據(jù)信是FIN11特有的惡意軟件MIXLABEL。后者在許多情況下被配置為與模擬Microsoft Store（us Microsoft Store［［com）的命令和控制域聯(lián)系

古迪在電子郵件中說，這些策略在9月份的競選活動中非常活躍，不過這位演員修改了Office文檔中的宏，還添加了地理圍欄技術。

Mandiant今天發(fā)布了FIN11活動及其向勒索軟件過渡的概述。研究人員將該組織視為一個獨立的威脅參與者，注意到它在戰(zhàn)術、技術和TA505所使用的惡意軟件方面有著顯著的重疊。

TA505是另一個高調的網(wǎng)絡犯罪團伙，部署了Clop勒索軟件。最近，它開始利用Windows中的zeroologon關鍵缺陷來獲取組織的域控制器的管理員級權限。

區(qū)分這兩個行為體的依據(jù)是觀察到的活動，以及“在TA505上尚未公開報道的妥協(xié)后戰(zhàn)術、技術和程序（TTP）的不斷發(fā)展”

FIN11還使用了Faultedamyy，這是一個惡意軟件下載器，在來自TA505和沉默（一個針對世界各地銀行的黑客組織）的攻擊中都可以看到。這表明這三個組都有一個共同的惡意軟件開發(fā)人員。

盡管與TA505有很強的相似性，但將某些活動歸因于FIN11是很困難的，因為這兩個組織都使用惡意軟件和犯罪服務提供商，這在某些情況下可能會導致錯誤歸因。

Mandiant hass自2016年以來一直在跟蹤FIN11，并通過可獨立驗證的觀察活動對其進行了定義。TA505至少從2014年開始就存在，研究人員并未將其早期操作歸因于FIN11。

賺錢策略

針對FIN11扔下Clop勒索軟件的事件，Mandiant發(fā)現(xiàn)演員在失去訪問權限后并沒有放棄目標。

在一個案例中，幾個月后，他們通過多個電子郵件活動重新危害了公司。在另一個案例中，F(xiàn)IN11在公司從備份中恢復受感染的服務器后重新獲得了訪問權限。

研究人員沒有具體說明他們所調查的事件的贖金要求，但指出勒索軟件補救公司Coveware指出，贖金數(shù)額在幾十萬到一千萬美元之間。

Mandiant說，有一次他們沒有部署Clop勒索軟件，演員試圖勒索受害者，威脅說要發(fā)布或出售被盜數(shù)據(jù)。

基于CIS的參與者

根據(jù)他們的分析，研究人員對FIN11來自獨立國家聯(lián)合體（獨聯(lián)體-前蘇聯(lián)國家）有適度的信心。

支持這一評估的是俄語文件元數(shù)據(jù)，僅在獨聯(lián)體國家以外使用鍵盤布局的機器上部署Clop勒索軟件，并且在俄羅斯新年和東正教圣誕節(jié)期間活動減少。

Mandiant認為，F(xiàn)IN11“能夠訪問的組織網(wǎng)絡遠遠超過他們能夠成功盈利的數(shù)量”，并根據(jù)受害者的位置、地理位置和安全態(tài)勢來選擇是否值得利用。

由于數(shù)據(jù)盜竊和勒索現(xiàn)在已成為其貨幣化方法的一部分，F(xiàn)IN11可能會對擁有敏感專有數(shù)據(jù)的受害者表現(xiàn)出更大的興趣，這些數(shù)據(jù)有更高的幾率支付贖金來恢復他們的文件。
責編AJX