LockerGoga和Ryuk勒索想必大家都很熟悉了,前者归因未知,后者归因实为黑客组织GRIMSPIDER所为,攻击活动名命名为TEMP.MixMaster,而攻击者目前来看是俄罗斯的可能性较大。
和火眼这篇报告则提出,这两者实际上都和金融apt组织Fin6相关,一个喜爱窃取信用卡信息的组织。
Fin6,年首次发现,当时该组织使用Grabnew后门和FrameworkPOS恶意软件,来窃取超过1万张信用卡的详细资料。在年,被认为利用WindowsManagementInstrumentationCommand(WMIC)等登录工具和Metasploit架构来执行PowerShell。
以下为本次报告原文链接: