Mandiant威胁情报安全研究组织最近发现了一个高级别攻击组织Fin11，该组织旨在获取经济利益，并利用恶意电子邮件活动进行勒索软件和数据窃取。

仔细阅读Mandiant的报告，你会发现FIN11在某些方面与APT1很相似。打击攻击者的不是他们的老练程度，而是他们活动的规模。FIN11的钓鱼操作有很大的漏洞，但当它活跃时，该组织一周会进行多达五次。尽管许多以金钱为动机的威胁组织都是短暂的，但至少从2016年起，FIN11就开始从事如此大规模的捕鱼活动。2017年至2018年，攻击组织主要针对金融、零售和酒店行业的组织。然而，2019年，FIN11的目标扩大到包括一系列不同的行业和地理区域。

Mandiant Company也对FIN11的多次入侵做出了回应，但研究人员只观察到该团队在少数情况下通过访问成功获利。这可能意味着攻击者在网络钓鱼操作中撒下一张大网，然后根据区域、地理位置或感知的安全状况等特征选择进一步利用哪些受害者。最近，FIN11部署了CLOP勒索软件，并威胁要公布泄露的数据，迫使受害者支付赎金。Clop是一个比较新的ransomware，今年2月首次出现在公众视野。Clop背后团队的主要目标是加密企业的文件，收到赎金后再发送解密器。目前，克洛普仍处于快速发展阶段。7月，Clop开始在国际上传播，国内一家企业也遭到攻击，造成大规模感染。这种恶意软件没有有效的解密工具，导致受害企业大量数据被加密，造成严重损失。FIN11从2018年的POS恶意软件、2019年的ransomware、2020年的混合ransomware，转变了盈利模式。攻击发生后，攻击者越来越重视ransomware部署和数据窃取。

值得注意的是，FIN11与另一个威胁组织TA505重叠。TA505是Dridex银行木马和Locky ransomware的幕后黑手，通过Necurs僵尸网络进行恶意垃圾邮件攻击。TA505网络间谍组织主要攻击全球金融机构，自2014年以来一直保持活跃。在过去的几年里，它利用银行木马Dridex和ransomware Locky和Jaff作为攻击工具，成功发动了多次大规模的网络攻击。但是研究人员发现TA505的早期活动与FIN11不同，所以两个组织不是同一个开发者。像大多数受利益驱使的攻击者一样，FIN11的开发并非都是从零开始的。研究人员认为，该组织使用的服务提供匿名域注册、防弹主机、代码签名证书和私有或半私有的恶意软件。将攻击者的工作外包给这些犯罪服务提供商可能会增加FIN11业务的规模和复杂性。防弹主机是指不限制用户上传发布内容的网络或域名服务。该服务通常用于发送垃圾邮件、网络赌博或网络色情。一般网络服务提供商将通过服务条款限制特定内容或行为。为了防止自己的IP段被基于IP协议的反垃圾邮件过滤器拦截，被正常用户投诉，他们还会中断对非法用户的服务。防弹主机允许内容提供商绕过法律或当地互联网检查机构，因此大多数都在国外。

值得注意的是，微软计划在今年3月初销毁Necurs僵尸网络，旨在阻止运营商注册新域名以在未来进行进一步攻击。今年3月，微软及其来自35个国家的合作伙伴采取措施，摧毁了世界上最大的网络犯罪网络背后的僵尸网络。僵尸网络Necurs已经感染了全球约900万台电脑。它是最大的垃圾邮件网络之一，在两个月内产生了380万封垃圾邮件。微软表示，这一行动是八年计划的结果。2012年，微软及其打击网络犯罪团队首次发现了Necurs，2014年发现该公司在Zeus系统上发布了类似GameOver Zeus的恶意软件。它可能涉及股票欺诈、虚假医疗垃圾邮件和“俄罗斯约会”欺诈，当局认为它是由俄罗斯网络犯罪分子运营的。

大规模恶意垃圾邮件活动

除了使用大量的恶意邮件传播机制，FIN11还将其目标范围扩展到本地语言诱饵和被操纵的电子邮件发件人信息，如欺骗性的电子邮件显示名称和电子邮件发件人地址，从而使电子邮件看起来更加合法。根据最近的追踪分析，攻击者对2020年德国大选非常感兴趣。

比如2020年1月，攻击者利用“研究报告N-”和“实验室事故”等电子邮件话题引诱用户下载后发起攻击，随后又以“2020年YTD计费电子表格”为主题发起第二波钓鱼攻击三月。

Mandiant威胁情报公司高级技术分析师Andy Moore明确表示:“FIN11的大规模电子邮件传播活动在攻击过程中仍在迭代。虽然我们还没有100%的证据，但有很多公开报道称，直到2018年的某个时候，FIN11严重依赖Necurs僵尸网络传播恶意软件。值得注意的是，观察到的Necurs僵尸网络停机时间直接对应于FIN11活动的停滞。"

事实上，根据Mandiant的研究，从2020年3月中旬到2020年5月下旬，FIN11的运行似乎已经完全停止，直到6月份，恶意的Microsoft Office文件通过包含恶意HTML附件的钓鱼邮件发送，FIN11才重新恢复运行。

而Office文件则使用宏来获取MINEDOOR dropper和FRIENDSPEAK下载器，然后这些下载器将MIXLABEL后门程序发送到受感染的设备。

改为混合勒索

然而最近几个月，FIN11为了加速盈利，使用CLOP ransomware攻击目标。此外，他们还采用了混合的勒索软件攻击，将勒索软件与数据窃取相结合，迫使企业支付从几十万美元到几百万美元不等的赎金账单。

Mandiant威胁情报公司高级技术分析师安迪·摩尔表示:“FIN11通过结合勒索软件和数据窃取，将入侵完全货币化，这在具有经济动机的攻击者中显示出更广泛的发展趋势。历史上比较常见的货币化策略，比如在特定攻击点部署恶意软件，将攻击者限制在特定行业的攻击目标，而ransomware的传播则可以让攻击者从入侵几乎任何组织的目标中获利。

这种勒索利润的方法让以利润最大化为目标的攻击者更加疯狂。

更重要的是，据说FIN11使用了从黑市论坛购买的FORKBEARD、SPOONBEARD、MINEDOOR等各种工具，很难对FIN11的攻击类型进行归属。

至于FIN11的幕后团队，由于俄罗斯文件元数据的存在，该组织只能在独联体国家之外开展业务，攻击不会在独联体国家部署CLOP。而且，1月1日至8日，俄罗斯新年和东正教圣诞节期间的活动大幅减少。所以Mandiant说很可能是独联体国家开发的。

除非对他们的操作系统有一些干扰，否则FIN11极有可能继续部署ransomware并窃取数据，从而获得更大的利润。FIN11将定期更新其TTP，以避免被发现并提高其攻击的有效性。尽管有这些功能变化，但最近的FIN11活动总是依赖于使用嵌入其中的宏恶意Office文档来传递其有效负载。通过培训用户识别网络钓鱼电子邮件、禁用Office宏和测试FRIENDSPEAK下载器，以及其他缓解措施，组织可以将受到FIN11伤害的风险降至最低。

参考资料和来源:https://hacker news . com/2020/10/fin 11-黑客-发现-使用-new.html