近年来,随着网络安全形势日益严峻,一个名为FIN7的高级持续威胁组织引起了广泛关注。该组织因其针对零售、金融及酒店等多个关键行业的精密攻击而臭名昭著。最新的网络威胁情报显示,FIN7关联的灰色暗影网络团伙GrayAlpha通过伪装成知名软件7-Zip及伪造软件更新的网站,向目标用户和企业推广远程访问木马(NetSupport RAT),从而实现对目标系统的远程控制和数据窃取。通过多条潜伏及攻击渠道,GrayAlpha不断演进其攻击技术,为网络防御者带来了严峻挑战。 GrayAlpha集团采用了三种主要的感染途径来渗透目标系统。首先,伪装成流行软件的虚假更新成为其重要的攻击入口。
这些伪造的软件更新并非仅针对7-Zip,还涉及诸如Google Meet、LexisNexis、Asana以及SAP Concur等多款知名企业软件。攻击者通过建立数个冒充CNN、华尔街日报等权威新闻网站的虚假页面来诱导用户下载安装,从而实现初始的木马植入。值得注意的是,这些假冒网站共享相同的主机指纹识别脚本,且多是通过“Stark Industries Solutions”这一知名的“防弹主机”服务进行托管,据报道,该服务曾被FIN7多次利用来掩盖攻击来源。 在软件更新感染链中,GrayAlpha分发了一种升级版的FakeBat加载器,称为MaskBat。MaskBat与其前身FakeBat的区别主要在于采用了独特的代码混淆技术,从而增加对抗安全检测的难度。FakeBat及其衍生版本均负责悄无声息地递送最终的NetSupport RAT载荷,帮助攻击者远程操控被感染主机。
第二条感染途径是直接伪装成7-Zip软件下载。GrayAlpha使用的域名同样包含与伪造软件更新网站相似的主机指纹脚本,利用这种信任的伪装来诱使用户下载恶意文件。此路径中分发的为定制的PowerNet加载器,它具备检测运行主机是否属于企业网络域的能力。如果检测失败,加载器会自动终止运行以避免暴露自身。Insikt Group的研究发现了至少五种不同版本的PowerNet,有些变种没有企业域检测功能,有的改为重定向到在线URL下载最终有效载荷。此外,PowerNet的部分代码片段也存在于名为Usradm Loader的工具中,后者由另一与FIN7相关的团伙WaterSeed使用,揭示了不同关联攻击团队间技术共享的趋势。
第三条传递渠道是TAG-124流量分发系统(TDS),该系统由一系列被攻陷的WordPress网站组成,用于传播假冒的浏览器更新和利用“ClickFix”技术传播恶意软件。这一攻击自2024年8月起首次被GrayAlpha实施,标志着TAG-124技术在该团伙中的首次亮相。TAG-124的设计使其运行更加隐蔽,降低了检测风险,并有效地向目标推送PowerNet加载器,进一步助长攻击链的持续与扩散。 值得注意的是,所有上述攻击向量均指向使用NetSupport RAT远程访问木马的最终目的。根据调查,所有由GrayAlpha部署的NetSupport样本都关联于之前被证实为FIN7使用的许可证ID。这种技术和资源的共享或传承表明GrayAlpha实际上是FIN7的一个活跃分支或合作团队。
NetSupport RAT因其功能强大且易于隐藏在正常网络流量中而深受攻击团伙青睐,能够实现实时远程控制、键盘记录、屏幕截取等功能,严重威胁企业数据安全和系统完整性。 FIN7的发展历程显示其不仅专注于传统的支付卡信息盗窃,还频繁涉足勒索软件即服务 (RaaS) 市场。2025年初,该组织还发动了通过恶意ZIP文件传播基于Python的后门程序Anubis的垃圾邮件攻击,利用被攻陷的SharePoint站点加强传播范围与隐蔽性。这种多层次、多样化的攻击策略,配合精细的社会工程手段,使其难以被检测和防御。 针对GrayAlpha及FIN7的威胁,企业安全人员需强化多方面防御措施。首先,加强对网络威胁形势的持续监控至关重要,定期更新和应用安全情报,包括利用公开的威胁指标(IoCs)进行实时检测。
其次,推行最小权限原则,限制用户和应用程序的访问范围,有助于降低潜在攻击面及损害范围。此外,应完全避免在网络中存储敏感数据或对其加密处理,为潜在的安全事件和数据泄露做好预防。对员工进行安全培训,提高对钓鱼攻击的识别能力,减少误点击风险。 在技术层面,企业应部署先进的终端检测响应(EDR)系统和行为分析工具,结合网络流量监控,及时发现异常活动。考虑到攻击者广泛利用“防弹主机”隐藏攻击源头,采取域名和IP声誉管理,阻止访问可疑或恶意域名也非常关键。升级防火墙和邮件过滤系统,结合多因素认证确保访问安全,将有效遏制攻击链的延伸。
综上所述,FIN7关联的GrayAlpha团伙通过假冒7-Zip及其他知名软件的更新,精心设计多条渗透渠道,传播高级远程访问木马,持续威胁全球企业网络安全。其灵活多变的攻击模式及隐蔽技术必需引起相关机构高度警觉。唯有通过综合防御策略,融合先进技术手段与完善管理措施,企业才能在日益复杂的网络威胁环境中保护自身资产,保障业务连续性和客户信任。安全意识的普及和技术防御的不断升级,将是战胜此类高级威胁组织的关键所在。
