目录导航
对银行,商人,银行卡公司和消费者的总体损失估计超过30亿美元.
西雅图–代理美国检察官Tessa A. Gorman宣布,臭名昭著的黑客组织FIN7的第一位高级经理今天在西雅图美国地方法院被判十年徒刑。Fedir Hladyr,35岁,乌克兰人,曾担任FIN7的高级经理和系统管理员。应美国执法部门的要求,他于2018年在德国德累斯顿被捕,并被引渡至西雅图。在2019年9月,他对共谋实施电汇欺诈和一项共谋进行计算机黑客的罪名表示认罪。在今天的宣判听证会上,美国首席地区法官里卡多·S·马丁内斯说:“网络犯罪已成为对美国人的金融健康以及对全球公民的最大威胁。”
“这个犯罪组织有70多个人组成业务部门和团队。“有些是黑客,有些是开发了安装在计算机上的恶意软件,还有一些是制作了恶意电子邮件,诱使受害者感染了他们的公司系统.”代理美国检察官戈尔曼说。“这位被告在所有这些活动的交汇处工作,因此对公司和个人消费者造成的数十亿美元损失负有重大责任。”
根据该案的记录,至少自2015年以来,FIN7成员(也称为Carbanak Group和Navigator Group等)从事高度复杂的恶意软件攻击,攻击了数百家美国公司,主要攻击餐厅,游戏和酒店业。FIN7入侵了数以千计的计算机系统,并窃取了数百万用于牟利的客户信用卡和借记卡号。
FIN7通过其数十个成员,对在美国和国外运营的众多企业发起了无数恶意网络攻击浪潮。FIN7精心设计了对企业员工而言合法的电子邮件,并在电子邮件中附加了旨在进一步使该电子邮件合法化的电话。一旦打开并激活了附件文件,FIN7将使用臭名昭著的Carbanak恶意软件的改编版本以及其他工具库,最终为企业客户访问和窃取支付卡数据。自2015年以来,许多被盗的支付卡号已通过在线地下市场出售。
仅在美国,FIN7成功突破了所有50个州和哥伦比亚特区的企业计算机网络,从3,600多个单独营业地点的6,500多个销售点中窃取了超过2000万张客户卡记录。其他入侵发生在国外,包括英国,澳大利亚和法国。公开披露可归因于FIN7的黑客攻击的公司包括熟悉的连锁店,例如Chipotle Mexican Grill,Chili’s,Arby’s,Red Robin和Jason’s Deli。
“这些网络窃贼精心策划了一个由黑客和系统组成的网络,渗透到企业内部,利用消费者的个人信息,”负责西雅图办事处的联邦调查局特工唐纳德·m·沃伊雷(Donald M. Voiret)说。“他们针对某些行业的专业技能将损害成倍放大。由于美国和海外执法伙伴的努力工作,这些诈骗犯并不是在我们的管辖范围之外,也无法逃避法律的制裁。”
Hladyr最初是通过一家名为Combi Security的前端公司加入FIN7的,该公司是一家虚假的网络安全公司,该公司拥有虚假网站,没有合法客户。赫拉迪尔在认罪协议中承认,他很快意识到,Combi并非一家合法公司,而是一家犯罪企业的一部分。Hladyr曾担任FIN7的系统管理员,除其他外,在汇总被盗的支付卡信息,监督FIN7的黑客以及维护FIN7用于攻击和控制受害者计算机的服务器网络方面发挥了核心作用。赫拉迪尔还控制了该组织的加密通信渠道。
赫拉迪尔(Hladyr)在法庭上说,“他毁了我的生命,并使他的家人遭受巨大的风险和挣扎。”
首席法官马丁内斯(Martinez)注意到网络罪犯必须受到严厉的刑罚,他表示“要坐在键盘旁从世界各地的人那里偷钱”,并强调潜在的网络罪犯“必须理解,一旦被抓获,惩罚将是重大的。” 法官还命令赫拉迪尔(Hladyr)赔偿250万美元。
此案是联邦调查局(FBI)西雅图网络工作队和华盛顿西区美国检察官办公室在司法部计算机犯罪和知识产权科以及国际事务办公室的协助下进行的调查结果。国家网络取证和培训联盟,众多计算机安全公司和金融机构,FBI遍布全国和全球的办事处以及众多国际机构。德国执法当局通过逮捕Hladyr提供了重大帮助。
华盛顿西部地区的助理美国检察官弗朗西斯·弗朗兹·中村和史蒂芬·马萨达,以及司法部计算机犯罪和知识产权科的审判律师安东尼·特鲁克辛格,都在起诉本案。
FIN7 apt组织介绍
FIN7是俄罗斯APT组织,自2015年中期以来,主要针对美国的零售,饭店和酒店业。FIN7的一部分耗尽了前端公司Combi Security。它被称为世界上最成功的犯罪黑客组织之一
FIN7是一个出于经济动机的威胁组织,自2015年中期以来,其主要针对美国的零售,餐饮和酒店业。他们经常使用销售点恶意软件。FIN7的一部分用完了一家叫做Combi Security的前台公司。FIN7有时被称为Carbanak组,但它们似乎是两个使用相同Carbanak恶意软件的组,因此需要分别进行跟踪。
FIN7 apt使用的技巧
| 名称 | 使用 |
| 应用层协议:DNS | FIN7使用DNS通过A,OPT和TXT记录执行了C2。[4] |
| 引导或登录自动启动执行:注册表运行键/启动文件夹 | FIN7恶意软件创建了Registry Run和RunOnce注册表项以建立持久性,并且还向Startup文件夹添加了项目。[2] [4] |
| 命令和脚本解释器 | FIN7使用SQL脚本来帮助在受害者的计算机上执行任务。[4] [5] [4] |
| 电源外壳 | FIN7使用PowerShell脚本来启动Shellcode,该Shellcode检索了其他有效负载。[2] [6] |
| Windows命令外壳 | FIN7使用命令提示符在受害者的计算机上启动命令。[4] [5] |
| Visual Basic | FIN7使用VBS脚本来帮助在受害者的计算机上执行任务。[4] [5] |
| JavaScript / JScript | FIN7使用JavaScript脚本来帮助在受害者的计算机上执行任务。[4] [5] [4] |
| 创建或修改系统进程:Windows服务 | FIN7创建了新的Windows服务,并将它们添加到启动目录中以保持持久性。[4] |
| 开发能力:恶意软件 | FIN7开发了可用于运营的恶意软件,包括创建受感染的可移动媒体。[7] [8] |
| 事件触发的执行:应用程序调整 | FIN7已使用应用程序填充程序数据库来保持持久性。[9] |
| 入口工具转移 | FIN7已下载了其他恶意软件,以在受害者的计算机上执行该恶意软件,包括使用PowerShell脚本启动用于检索其他有效负载的Shellcode。[2] [10] |
| 进程间通信:动态数据交换 | FIN7鱼叉式网络钓鱼活动已包含执行DDE的恶意Word文档。[11] |
| 伪装:伪装任务或服务 | FIN7创建了一个名为“ AdobeFlashSync”的计划任务来建立持久性。[6] |
| 非标准端口 | FIN7在C2期间对端口(例如53、80、443和8080)使用了端口协议不匹配。[4] |
| 混淆的文件或信息 | FIN7使用了零散的字符串,环境变量,标准输入(stdin)和本机字符替换功能来混淆命令。[12] [4] |
| 网络钓鱼:鱼叉式附件 | FIN7发送带有恶意Microsoft Documents或RTF文件的鱼叉式电子邮件。[2] [10] [5] |
| 计划任务/工作:计划任务 | FIN7恶意软件创建了计划的任务来建立持久性。[2] [6] [4] [5] |
| 屏幕截图 | FIN7捕获了屏幕截图和桌面视频录像。[10] |
| 签名的二进制代理执行:Mshta | FIN7已使用mshta.exe执行VBScript以在受害系统上执行恶意代码。[2] |
| 颠覆信任控制:代码签名 | FIN7已使用合法购买的代码签名证书对Carbanak有效载荷进行了签名。FIN7还对网络钓鱼文档,后门程序和其他登台工具进行了数字签名,以绕过安全控制。[3] [4] |
| 用户执行:恶意文件 | FIN7诱使受害者双击他们发送的附件中的图像,然后这些图像将执行隐藏的LNK文件。[2] |
| 视频截取 | FIN7创建了自定义视频录制功能,可用于监视受害者环境中的操作。[4] [10] |
| 虚拟化/沙盒规避:基于用户活动的检查 | FIN7使用嵌入到文档诱饵中的图像,仅当用户双击以避免沙箱时才激活有效负载。[2] |
| Web服务:双向通信 | FIN7使用了合法的服务,例如Google文档,Google脚本和C2的Pastebin。[4] |