近日，網(wǎng)絡(luò)犯罪組織FIN7利用高級(jí)手法，調(diào)用微軟動(dòng)態(tài)數(shù)據(jù)交換（DDE），根本不用啟用宏，就可在Office應(yīng)用程序中執(zhí)行惡意軟件。

FIN7（也被稱為Anunak或銀行大盜Carbanak）是目前為止組織最為嚴(yán)密的復(fù)雜網(wǎng)絡(luò)犯罪組織，自2017年初起開(kāi)始活躍，因攻擊美國(guó)公司竊取支付卡數(shù)據(jù)而廣為人知。

FIN7向來(lái)使用取巧、定制的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)誘餌發(fā)動(dòng)攻擊。一旦目標(biāo)遭遇感染，F(xiàn)IN 7會(huì)在網(wǎng)絡(luò)中橫向活動(dòng)，使用各種反取證技術(shù)規(guī)避檢測(cè)。該組織習(xí)慣于使用對(duì)象鏈接與嵌入（OLE）技術(shù)，通過(guò)在在Word文檔中嵌入LNK文件來(lái)分發(fā)惡意軟件。在攻擊中經(jīng)常采用“無(wú)文件”攻擊方式，即沒(méi)有文件寫入磁盤。ICEBRG的安全研究團(tuán)隊(duì)（SRT）在最近發(fā)現(xiàn)FIN7已經(jīng)切換到使用CMD文件而不是LNK文件，這樣做很可能是為了逃避檢測(cè)。

今年6月， FIN7利用新的無(wú)文件多段式攻擊瞄準(zhǔn)美國(guó)連鎖餐廳；

今年5月，與Carbanak Gang存在關(guān)系的FIN7利用Windows兼容性修復(fù)程序Shim攻擊美國(guó)證券交易委員會(huì)（SEC）。

Morphisec 研究人員總結(jié)了FIN7組織不同攻擊途徑的時(shí)間，研究人員表示，F(xiàn)IN7通常會(huì)在攻擊被發(fā)現(xiàn)幾天內(nèi)采用新技術(shù)。

Morphisec研究人員通過(guò)VirusTotal分析了FIN7誘餌附件的檢出率。Morphisec在其報(bào)告中指出，Virus Total的檢出率顯示，當(dāng)FIN7剛開(kāi)始活躍時(shí)，大多數(shù)安全解決方案檢測(cè)不到。一旦安全解決方案更新模式，這些文件的檢出率提升至10/56或更高。這個(gè)時(shí)候，F(xiàn)IN7簡(jiǎn)單調(diào)整代碼或安全軟件尋找的其它模式部署新工具。這種技術(shù)讓基于模式的被動(dòng)檢測(cè)規(guī)則形同虛設(shè)。

其它研究人員分析FIN7的戰(zhàn)術(shù)后指出，F(xiàn)IN7遵循著高超黑客慣用的模式：初步攻擊建立立足點(diǎn)提權(quán)維持持久性橫向活動(dòng)最終完成任務(wù)。
Morphisec總結(jié)稱，不斷改變攻擊模式是FIN7的核心商業(yè)模式。FIN7每起攻擊包含足夠多的新功能躲避檢測(cè)。當(dāng)安全廠商設(shè)法跟上步伐時(shí)，F(xiàn)IN7已經(jīng)在準(zhǔn)備下一起攻擊。

事實(shí)上，快速采用新技術(shù)使歐洲信息安全技術(shù)展覽會(huì)（Infosecurity Europe）一名研究人員對(duì)FIN7做出這樣的評(píng)價(jià)：大多數(shù)環(huán)境不可能防住FIN7，檢測(cè)是能指望的最佳防御措施。

今年早些時(shí)候，F(xiàn)IN7就與響應(yīng)事件的Morphisec一名研究人員“交過(guò)手”，F(xiàn)IN組織首先阻止了這名研究人員使用的IP地址，然后放棄了整個(gè)命令與控制基礎(chǔ)設(shè)施。

FIN組織是首批采用高級(jí)隱秘?zé)o文件惡意軟件的組織。為了規(guī)避檢測(cè)，黑客利用無(wú)文件惡意軟件規(guī)避下載并安裝極易被檢測(cè)的惡意軟件，黑客會(huì)選擇使用目標(biāo)電腦上已經(jīng)安裝的工具，直接向目標(biāo)電腦的工作內(nèi)存（Working Memory）注入惡意代碼。

執(zhí)行這種操作的命令通常隱藏在附件內(nèi)，濫用Visual Basic、Object Linking或DDE（動(dòng)態(tài)數(shù)據(jù)交換）等功能作為附件誘餌。

研究人員分析這些附件誘餌后發(fā)現(xiàn)，這些誘餌依賴社會(huì)工程——微軟用戶一般會(huì)收到如下彈出框，詢問(wèn)用戶是否“啟用內(nèi)容”或“更新鏈接”——通常用來(lái)針對(duì)少量目標(biāo)發(fā)起魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)。

今年早些時(shí)候，F(xiàn)IN7涉嫌發(fā)送看似來(lái)自美國(guó)證券交易委員會(huì)（SEC）EDGAR（電子化數(shù)據(jù)收集、分析及檢索系統(tǒng)）的電子郵件，而這些郵件攜帶著標(biāo)題為“年度報(bào)表（10K）的重大變化”。

10K報(bào)表是上市公司每年必須向SEC提交的報(bào)表，F(xiàn)IN瞄準(zhǔn)的目標(biāo)為提交給SEC文件中出現(xiàn)的人，這通常意味著這些人的電子郵箱出現(xiàn)在公共文件中。

上周，思科Talos團(tuán)隊(duì)的研究人員發(fā)現(xiàn)包含欺騙性SEC地址的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)郵件，攜帶的附件使用DDE發(fā)起復(fù)雜的多段式感染過(guò)程，這是FIN7的典型做法。

Carbanak黑客組織（也被稱作Anunak）自2013年開(kāi)始活動(dòng)以來(lái)，卡巴斯基實(shí)驗(yàn)室2015年首次發(fā)現(xiàn)Carbanak犯罪團(tuán)伙。該組織使用木馬惡意軟件對(duì)全球的銀行發(fā)起針對(duì)性攻擊，盜取30國(guó)銀行10億美元之后，該組織的活動(dòng)才被浮出水面，其在2013年至2014年間，從30個(gè)國(guó)家100家銀行盜竊逾10億美元。

2016年年初，該組織主要針對(duì)美國(guó)和中東的銀行和金融機(jī)構(gòu)發(fā)起攻擊。

2016年11月，該組織針對(duì)酒店行業(yè)的組織機(jī)構(gòu)發(fā)起新一輪攻擊。

2017年1月，Carbanak開(kāi)始利用Google服務(wù)進(jìn)行命令與控制（C&C）通信。