臭名昭著的网络犯罪团伙FIN7又回来了，他们又耍了新花招！了解FIN7不断演变的策略，包括勒索软件和自定义EDR绕过工具（如AvNeutralizer）。了解如何利用Sentinel Labs研究中的专家提示来加强对FIN7的防御。

俄罗斯黑客正在改变策略，现在选择使用付费工具，而不是他们传统上所熟知的定制工具。这种趋势在俄罗斯网络犯罪团伙FIN7的活动中显而易见，该团伙十多年来一直以全球金融机构和企业为目标。

FIN7最初专注于销售点(POS)系统入侵，并因此而臭名昭著，此后，该组织不断改进其策略以最大化其收益。Sentinel Labs的最新报告分析了该团伙转向勒索软件攻击的情况，重点介绍了他们首选的武器和作案手法。

据研究人员称，FIN7在2020年将重点转向勒索软件运营，与REvil和Conti等RaaS组织建立联系，并在Darkside和BlackMatter下推出自己的计划。他们创建了Combi Security和Bastion Secure等欺诈性信息安全公司来欺骗安全研究人员。尽管遭遇挫折，FIN7的活动仍在继续。

Sentinel Labs在揭露FIN7复杂的工具箱时发现了一个特别令人担忧的工具AvNeutralizer，这是一种EDR损伤工具，旨在使安全软件失效，使系统容易受到进一步的攻击。

2022年11月，SentinelLabs报告称FIN7与Black Basta组织存在联系，他们在勒索软件攻击中使用AvNeutralizer(AuKill)，目前他们正在地下论坛上出售该勒索软件。

其他工具包括Powertrash，这是FIN7在其恶意活动中秘密执行后门负载时使用的一种高度混淆的PowerShell脚本。Diceloader（又名Lizar或IceBot）是一种后门，它允许攻击者建立C2通道，通过发送与位置无关的代码模块来控制系统。在FIN7操作中，Diceloader通常通过Powertrash加载器部署。

辅助UI客户端“远程系统客户端”用于与Diceloader C2服务器交互并控制其受害者，而在FIN7的服务器上发现了一个基于SSH的后门，它暴露了一个开放目录Web服务器，该服务器用作提供有效负载的暂存服务器。

FIN7使用多个假名来隐藏其身份并维持其地下犯罪活动。用户“goodsoft”、“lefroggy”和“killerAV”在exploitin论坛上以每月6500美元的价格宣传他们的“PentestSoftware”，“Stupor”在xssis论坛上以10000美元的价格宣传一款针对安全解决方案的AV杀手。根据证据，研究人员声称所有这些用户都属于FIN7集群，可能使用多个假名来维持他们的非法行动。

Fin7使用自动SQL注入攻击来利用面向公众的应用程序。他们采用多层次的方法，包括混淆恶意软件代码、利用合法工具进行恶意攻击以及利用流行软件中的漏洞。这种不断的创新使得网络安全研究人员很难追踪FIN7的活动并制定有效的防御措施。

为了防范此类威胁，企业应定期更新系统和软件，实施分层安全方法，对员工进行网络安全最佳实践培训，并制定数据备份和恢复计划。