【安全圈】FIN7 黑客组织在暗网上大肆推广反EDR系统工具

主要观点总结

本文介绍了名为FIN7的威胁行为者在多个地下论坛上使用虚假用户名大肆宣传安全绕过工具的情况。这些工具被多个勒索软件组织使用，包括Black Basta等。文章详细描述了FIN7组织的特点、活动范围、使用的工具和技术，以及他们如何通过模仿合法媒体和技术企业发送勒索软件和其他恶意软件系列来开展大规模网络钓鱼活动。此外，文章还提到了AvNeutralizer工具的更新情况及其重要性。

关键观点总结

关键观点1: FIN7威胁行为者使用虚假用户名宣传安全绕过工具

FIN7是源于俄罗斯和乌克兰的电子犯罪团伙，至少从2012年开始就持续威胁网络。他们在地下论坛上使用虚假用户名宣传安全绕过工具，这些工具被多个勒索软件组织使用。

关键观点2: FIN7开展大规模网络钓鱼活动

FIN7通过模仿合法媒体和技术企业发送勒索软件和其他恶意软件系列来开展大规模网络钓鱼活动。他们使用空壳域名进行网络钓鱼，并诱使用户下载带有恶意软件的变种。

关键观点3: AvNeutralizer工具的更新及其重要性

AvNeutralizer是FIN7开发的一种高度专业化的工具，用于篡改安全解决方案。其更新版本采用了反分析技术，并利用Windows内置驱动程序来篡改安全解决方案的功能和逃避检测。这个工具的更新预示着FIN7策略的转变或扩大。

关键观点4: FIN7的多样化和额外收入来源

除了勒索软件行动，FIN7还善于利用地下市场创收。他们不仅在网络犯罪论坛上推广工具，还通过出售工具实现多样化和创造额外收入。

文章预览

关键词 勒索软件 据观察，近日有名为 FIN7 的威胁行为者在多个地下论坛上使用虚假用户名大肆宣传安全绕过工具，这些工具都曾被 Black Basta 等勒索软件组织使用过。 AvNeutralizer（又名 AuKill）是 FIN7 开发的一种高度专业化的工具，用于篡改安全解决方案，已在地下犯罪组织中进行销售，并被多个勒索软件组织使用。 FIN7 是一个源于俄罗斯和乌克兰的电子犯罪团伙，至少从 2012 年开始就一直是一个持续性威胁，最初只针对销售点（PoS）终端攻击，目前已转变为充当 REvil 和 Conti 等现已解散团伙的勒索软件附属机构，之后又推出了自己的勒索软件即服务（RaaS）项目 DarkSide 和 BlackMatter。 该威胁行为者还以 Carbanak、Carbon Spider、Gold Niagara 和 Sangria Tempest（前 Elbrus）等名称进行追踪，其前科包括成立 Combi Security 和 Bastion Secure 等虚假公司，以渗透测试为借口 ………………………………