黑客组织FIN6开始使用LockerGoga和Ryuk Ransomware

pspong  2086天前

图标.jpg

FIN6组织的攻击目标一直是 point-of-sale (PoS)系统,最近该组织把矛头指向了工程行业。

FireEye最近发布的报告分析中显示,FireEye管理的防御系统检测到fin6对工程行业有入侵行为。

FireEye表示FIN6可能会对工程行业进行大规模的入侵。

下面将详细介绍FIN6的最新战术、技术和程序(TTP),包括与LockerGoga和Ryuk勒索软件家族的联系。

最近涉及RyukLockerGoga的攻击都归咎于FIN6组织。

专家们追踪到这些入侵事件发生在2018年7月,并给受害者造成了数千万美元的损失。

FIN6最近的一波攻击发现是因FIN6在侦察阶段利用了盗窃证书,Cobalt Strikemetasploit以其他公开工具。

攻击者使用Windows的远程桌面协议(RDP)进行横向移动,该攻击使用到了以下技术:

    1、攻击者使用PowerShell执行编码命令,将Cobalt Strike添加到受感染系统,并执行一系列有效的负载,直到检索到最后一个。

    2、攻击者会随机创建一个Windows服务来执行编码过的PowerShell命令,该命令包括存储在字节数组中的反向HTTP shellcode有效负载。

FIN6-Powershell.png

“metasploit反向HTTP有效负载被配置为通过443端口来控制IP地址与随机命名的资源(例如”/ ilX9zObq6LleAF8BBdsdHwRjapd8_1Tl4Y-9Rc6hMbPXHPgVTWTtb0xfb7BpIyC1Lia31F5gCN_btvkad7aR2JF5ySRLZmTtY“)进行通信。此 URL包含shellcode这会产生一个额外下载的HTTPS请求。

为了在实际环境中实现权限提升,FIN6组织利用me tasploit框架中包含的命名管道模拟技术,进行系统级提权。

攻击者利用AdFind查询Active Directory并进行横向移动,他们使用7-Zip压缩数据,然后再将数据发送到服务器。

FireEye表示, “鉴于这些入侵已经持续了将近一年,我们将进一步分析FIN6组织的入侵”。

最新评论

昵称
邮箱
提交评论