FIN7 黑客组卷土重来，与 DEV-0950 合作进行勒索攻击

关键要点

• FIN7 黑客组在两年休整后重新活跃，可能与 DEV-0950 合作。
• 两组共同推动 Clop 勒索病毒，针对多个受害者。
• FIN7 利用 DEV-0950 工具攻破 PaperCut 关键漏洞。
• 重新出现的活动还包括其他类型的网络攻击。

FIN7 黑客组织在两年的沉寂后再次活跃，研究人员表示，该组织很可能与另一个臭名昭著的勒索软件团伙 DEV-0950 合作，推行广泛传播的 Clop（又名 Cl0p）勒索病毒。微软安全团队的研究显示，这两个团伙已经联手进行了一系列最近的攻击行动，包括针对 Fortra GoAnywhere MFT安全文件传输工具的攻击。

微软表示，FIN7（其代号为 Sangria Tempest）很可能与竞争对手 Clop 及其附属组织 DEV-0950（称之为 LaceTempest）联手。FIN7 利用 DEV-0950 的工具攻击了关键的服务器漏洞 PaperCut（），这一漏洞影响了全球数百万台计算机。

在 SC Media 的独家报道中，微软安全部门警告其 Defender 威胁情报平台的客户，DEV-0950/Lace Tempest 工具被用作初步利用 PaperCut 漏洞的策略。从 2023 年 4 月开始，Lace Tempest 就开始使用 Sangria Tempest 工具。

“微软观察到 Lace Tempest 对 PaperCut 漏洞的利用，致使 Sangria Tempest 进行键盘活动。最近，Sangria Tempest 工具在 Lace Tempest 攻击中的使用，可能表明这两个团伙之间存在合作关系。”微软表示。

微软最早在其 上发布消息，称这两个犯罪团伙可能在一场勒索攻击活动中协作。

“Clop 是 Sangria Tempest 多年来部署的最新勒索病毒。这一团伙在此之前还使用过 REvil 和 Maze，并曾管理现已退役的 DarkSide 和 BlackMatter 勒索软件操作。”微软在推特上表示。

在为 Defender 威胁情报平台付费客户准备的报告中，微软透露尚未确定 Sangria Tempest 最近 Clop勒索软件部署的初始访问向量模式。然而，他们指出，一旦该团伙获得系统访问权限，就会开始使用自定义的高度混淆 PowerShell 脚本（名为 POWERTRASH），该脚本用于反射加载额外的 Payload，在这种情况下是一个嵌入的 Lizar（或 Diceloader）动态链接库（DLL）。

“反射加载通过在进程内存中指定和启动 Payload，来隐蔽 Payload 的启动，而不是在磁盘上。”Defender 威胁情报报告中写道。“Lizar 是一个后利用工具包，来源于该团伙，可以帮助他们获得受损环境的立足点。”

微软还指出，FIN7/Sangria Tempest 与 DEV-0950/Lace Tempest 之间的联系，表明 Lace Tempest 在针对 PaperCut 服务器的活动中也采用了 POWERTRASH。根据一项已识别的 Lace Tempest 攻击，该团伙使用 POWERTRASH 来交付 Lizar。

一旦 Sangria Tempest 在受损系统中建立立足点，就会利用商用工具如 OpenSSH 来实现持久性，并使用 Impacket进行横向移动、Windows 凭证转储和远程启动。 FIN7 将 OpenSSH 安装在 C:\Windows\OpenSSH 中，而非常规的 System32 路径。

该团伙使用 Impacket 的 Windows 管理工具（WMI）模块，从 C:\Windows\Temp 远程启动 PowerShell脚本，以从同一文件夹部署 Clop 勒索软件 Payload。Sangria Tempest 将 Payload 重命名为 win.exe，并在启动后删除 PowerShell 脚本和文本文件。

微软指出，Sangria Tempest 投放了一份赎金通知，声称已经从受损系统中窃取了数据。

“尽管该团伙历史上进行过双重勒