近日，網絡安全研究人員發現黑客組織 FIN7 濫用 Google Ads ，散播、部署惡意軟件 NetSupport RAT。

根據網絡安全公司 eSentire 發布的一份報告來看，黑客組織 FIN7 在 Google Ads 傳播惡意軟件活動中主要冒充了包括 AnyDesk、WinSCP、BlackRock、Asana、Concur、《華爾街日報》、Workable 和 Google Meet 等在內的衆多知名衆品牌。

FIN7 網絡犯罪團夥（又名 Carbon Spider 、Sangria Tempest）自 2013 年“出道”以來一直非常活躍。最初，該組織主要針對銷售終端（PoS）設備開展攻擊活動，竊取支付數據。後來，逐漸轉向通過部署勒索軟件，襲擊大型公司以獲取贖金。

多年來，FIN7 網絡犯罪團夥已經多次改進其戰術和惡意軟件庫，采用了 BIRDWATCH、Carbanak、DICELOADER（又名 Lizar 和 Tirion）、POWERPLANT、POWERTRASH 和 TERMITE 等各種自定義惡意軟件。

2023 年 12 月，微軟宣布觀察到了 FIN7 網絡犯罪團夥依賴谷歌廣告誘導用戶下載惡意的 MSIX 應用程序包，一旦安裝就會執行一個基于 PowerShell 的內存驅動程序 POWERTRASH，用于加載 NetSupport RAT和 Gracewire。

微軟還表示，FIN7 黑客組織是一個以金錢爲“動機”的網絡犯罪團夥，目前專注于開展網絡入侵活動，通過盜竊、加密受害者的數據信息，直接向受害者索要大量錢財，或者通過部署勒索軟件，"慢慢"訛詐受害者。

據悉，目前已經有多個威脅攻擊者濫用 MSIX 作爲惡意軟件的分發媒介 ，研究人員表示黑客組織都喜歡用的原因或許是其能夠繞過 Microsoft Defender SmartScreen 等安全機制。

Malwarebytes 也觀察到了類似的惡意活動 ，並將網絡攻擊活動“描述”成通過模仿 Asana、BlackRock、CNN、Google Meet、SAP 和《華爾街日報》等知名品牌的惡意廣告和模態窗口，針對企業用戶，發起大規模網絡攻擊。值得一提的是，Malwarebytes  並沒有將這一攻擊活動歸咎在 FIN7 身上。

最糟糕的是，賽門鐵克指出，惡意軟件一旦安裝，通常會在任務調度程序中注冊命令以保持持久性，即使在刪除後也能持續安裝新的惡意軟件。

參考文章：

https://thehackernews.com/2024/05/fin7-hacker-group-leverages-malicious.html