最近的一波“鱼叉式网络钓鱼”活动利用带有Visual Basic宏的武器化Windows 11 Alpha 主题Word文档，针对位于美国的销售点(PoS)服务提供商投放恶意负载，包括植入JavaScript程序。

据网络安全公司Anomali研究人员称，这些攻击发生在2021年6月下旬至7月下旬之间，被认为是出于经济动机的威胁行为者FIN7。

Anomali Threat Research在9月2日发布的技术分析中表示：“Clearmind 域的特定目标与FIN7的首选作案手法十分吻合。”该组织的目标似乎是提供FIN7至少从2018年就开始使用的JavaScript后门的变体。

FIN7是一家早在2015年中期就开始活跃的东欧集团，曾以美国的餐饮、赌博和酒店行业未目标，窃取信用卡和借记卡号码等金融信息，然后在地下市场上使用或出售这些信息牟利。

尽管自今年年初以来，该集体的多名成员因在不同网络攻击活动中被监禁，但鉴于其 TTP类似，FIN7的活动也与另一个名为Carbanak的团体有关，主要区别在于FIN7专注于款待和零售部门，Carbanak已经针对银行机构。

在Anomali观察到的最新攻击中，感染始于Microsoft Word恶意文档，其中包含一个据称是“在 Windows 11 Alpha上制作的”诱饵图像，敦促接收者启用宏以触发下一阶段的活动，包括执行一个严重混淆的VBA宏，用于检索JavaScript负载，已发现该负载与 FIN7使用的其他后门共享类似的功能。

除了采取几个步骤通过用垃圾数据填充代码来阻止分析之外，VB脚本还会检查它是否在VirtualBox和VMWare等虚拟化环境下运行，如果是，除了停止感染链外，还会自行终止在检测到俄语、乌克兰语或其他几种东欧语言时。

后门对FIN7的归因源于威胁行为者采用的受害者学和技术的重叠，包括使用基于 JavaScript的有效载荷来掠夺有价值的信息。

研究人员表示：“FIN7 是最臭名昭著的经济动机团体之一，因为他们通过多种技术和攻击面窃取了大量敏感数据。” “过去几年，这个威胁组织的形势一直动荡不安，因为随着成功和恶名的到来，当局的目光始终保持着警惕。尽管受到了高调的逮捕和判刑，该组织仍然一如既往地活跃。”

近年来黑客发动网络攻击的手段不断翻新，攻击技术不断升级。企业屡屡遭受网络攻击的困扰，一方面由于互联网通信协议本身的问题，更重要的是系统漏洞给黑客以可乘之机。研究显示，超95%的企业系统存在严重的安全漏洞问题，这些问题将它们置于网络攻击风险之中并可能导致大规模数据泄露。

为确保数据安全免遭网络攻击，在加强网络安全意识的同时，更要从根本上解决软件安全漏洞问题。数据显示，90%的网络攻击事件直接或间接由安全漏洞导致的，因此在软件开发过程中加强对代码质量要求，使用静态代码检测等工具发现并及时修改代码缺陷及漏洞，可以大大减少软件安全漏洞数，提高软件安全性。加强软件安全是网络安全防御手段的重要补充，通过强化软件自身安全性，筑牢网络安全根基。

参读链接：

https://www.woocoom.com/b021.html?id=8e9275331be943fca8f825200f848b5a

https://thehackernews.com/2021/09/fin7-hackers-using-windows-11-themed.html

[课程]Linux pwn 探索篇！