黑客组织FIN6开始使用LockerGoga和Ryuk Ransomware

FIN6组织的攻击目标一直是 point-of-sale （PoS）系统，最近该组织把矛头指向了工程行业。

FireEye最近发布的报告分析中显示，FireEye管理的防御系统检测到fin6对工程行业有入侵行为。

FireEye表示FIN6可能会对工程行业进行大规模的入侵。

下面将详细介绍FIN6的最新战术、技术和程序（TTP），包括与LockerGoga和Ryuk勒索软件家族的联系。

最近涉及Ryuk和LockerGoga的攻击都归咎于FIN6组织。

专家们追踪到这些入侵事件发生在2018年7月，并给受害者造成了数千万美元的损失。

FIN6最近的一波攻击发现是因FIN6在侦察阶段利用了盗窃证书，Cobalt Strike，metasploit以其他公开工具。

攻击者使用Windows的远程桌面协议（RDP）进行横向移动，该攻击使用到了以下技术：

    1、攻击者使用PowerShell执行编码命令，将Cobalt Strike添加到受感染系统，并执行一系列有效的负载，直到检索到最后一个。

    2、攻击者会随机创建一个Windows服务来执行编码过的PowerShell命令，该命令包括存储在字节数组中的反向HTTP shellcode有效负载。

“metasploit反向HTTP有效负载被配置为通过443端口来控制IP地址与随机命名的资源（例如”/ ilX9zObq6LleAF8BBdsdHwRjapd8_1Tl4Y-9Rc6hMbPXHPgVTWTtb0xfb7BpIyC1Lia31F5gCN_btvkad7aR2JF5ySRLZmTtY“）进行通信。此 URL包含shellcode这会产生一个额外下载的HTTPS请求。

为了在实际环境中实现权限提升，FIN6组织利用me tasploit框架中包含的命名管道模拟技术，进行系统级提权。

攻击者利用AdFind查询Active Directory并进行横向移动，他们使用7-Zip压缩数据，然后再将数据发送到服务器。

FireEye表示， “鉴于这些入侵已经持续了将近一年，我们将进一步分析FIN6组织的入侵”。