2023 年 3 月下旬，FIN7组织针对运行 Veeam Backup & Replication 软件的面向互联网的服务器发起了攻击。3月28 日，研究人员在运行 Veeam Backup & Replication 软件的面向互联网的服务器上观察到初始活动。与 Veeam Backup 实例相关的 SQL 服务器进程“sqlservr.exe”执行了一个 shell 命令，该命令在内存中下载并执行了 PowerShell 脚本。分析发现，这些 PowerShell 脚本的所有实例都是 POWERTRASH。POWERTRASH 是一个用 PowerShell 编写的混淆加载器，归因于 FIN7。POWERHOLD的执行链如下：

Conti勒索软件团伙的前成员与FIN7组织合作，分发名为“Domino”的新恶意软件系列。“Domino”是由FIN7组织相关的开发人员创建的恶意软件。至少自 2023 年 2 月下旬以来，Conti组织的前成员一直在使用 Domino 来交付 Project Nemesis 信息窃取程序或功能更强大的后门程序，例如 Cobalt Strike。Domino后门收集基本的系统信息，然后将其发送到 C2，并接收 AES 加密的有效负载。 Project Nemesis 于 2021 年 12 月首次在暗网上发布广告，是一个 .NET 信息窃取器，可以从一系列网络浏览器以及包括 Steam、Telegram、Discord、加密钱包和 VPN 提供商在内的应用程序收集数据。

Black Basta 勒索软件于 2022 年 4 月出现，并在 2022 年 9 月之前入侵了90多个组织。研究人员推测，该勒索组织极有可能与FIN7团伙存在联系。BlackBasta勒索组织使用了自定义的工具，研究人员认为其中一些EDR规避工具的开发人员很可能是（或曾经是）FIN7组织中的开发人员。此外，FIN7在2022年初的网络攻击活动中使用的IP地址和特定的TTP，在几个月后的BlackBasta勒索攻击活动中同样被使用。

FIN7是一个具有俄语背景出于非法经济犯罪目的的黑客组织，自2013年活跃至今，其主要攻击目标为欧美地区的金融、零售、酒店等行业。近期监测发现，今年7月下旬开始，FIN7对某目标发起多次鱼叉邮件攻击，攻击活动有如下特点：1. 鱼叉邮件投递攻击诱饵为发票申请相关，xlsx诱饵由攻击样本释放，多起攻击事件中使用的诱饵完全一致，疑似使用相同模板生成的泛化攻击样本。2. 原始攻击样本均为xll文件类型（Excel扩展插件），且针对攻击目标主机环境为装有32位office excel的64位Windows操作系统。核心载荷为内存C++ JssLoader木马。

FIN7（又名 Carbanak）是一个讲俄语、出于经济动机的威胁组织，以其多样化的策略、定制的恶意软件和隐秘的后门而闻名。4月4日，研究人员发布关于 2021 年底至 2022 年初 FIN7 运营的详细技术报告，该组织持续活跃、不断发展并尝试新的货币化方法。 FIN7 影响了一些勒索软件团伙的运营，包括REVIL、DARKSIDE、BLACKMATTER 和BlackCat/ALPHV 等。FIN7 利用多种方法对受害者网络进行初始和二次访问，包括网络钓鱼、入侵第三方系统、Atera代理安装程序、GoToAssist和 RDP。FIN7 在最近的入侵中依赖于 POWERPLANT 后门，其不同版本添加的功能和改进如下：

1月7日，美国联邦调查局(FBI)发布警报称， FIN7犯罪团伙在过去几个月中向美国国防工业的公司寄送了恶意USB设备，试图部署勒索软件。 简况FIN7犯罪团伙自2021年8月起，使用美国邮政服务(USPS) 和联合包裹服务(UPS)，将恶意包裹邮寄给运输和保险行业的企业，并从2021年11月开始针对美国国防行业的公司。该团伙邮寄的包裹包含带有LilyGO标志的“BadUSB”或“Bad Beetle USB”设备，这些设备已被攻击者武器化。

FIN7是一个出于经济动机的威胁组织，主要针对金融机构、酒店、餐厅和赌博行业。据美国司法部称，FIN7 组织在美国窃取了大约1500万条支付卡记录，并在全球造成了 10 亿美元的损失。近日，研究人员发布了对FIN7组织使用的JSS Loader 和 Remcos工具的分析报告。 简况FIN7 使用鱼叉式网络钓鱼活动，通过下载或执行混淆的javascript作为第一阶段来破坏机器。首先，它将在“user\public”文件夹中创建一个合法 wmic.exe 的副本，以及一个.xsl 文件。然后 .xsl 将执行 .txt 文件扩展名中的实际恶意 javascript。该 JS 能够通过执行多个 WMI 查询命令向受感染主机收集信息。而后使用 HTTP POST 请求命令加密这些信息，并发送到其 C2 服务器。FIN7的攻击方案如下：

FIN7组织又名“Carbanak”，于2015年首次出现，是一个以经济收益为动机的威胁组织。研究人员发现，FIN7 黑客组织创建并运营了一家名为“Bastion Secure”的网络安全公司，招募不知情的 IT 专家，试图加入高利润的勒索软件领域。 简况FIN7组织伪造的安全公司名为Bastion Secure，声称可以为世界各地的私营公司和公共部门组织提供渗透测试服务。Bastion Secure名称看起来类似于以下安全公司，这些公司在谷歌搜索结果中的排名比较靠前：

2021年6月下旬至7月下旬，FIN7组织在鱼叉式网络钓鱼活动中，利用武器化Windows 11 Alpha主题Word文档，针对销售点 (PoS) 服务提供商投放恶意载荷，包括JavaScript植入程序。FIN7是一个东欧威胁组织，至少自 2015 年年中以来一直活跃，主要针对美国实体，目标是直接窃取金融信息，例如信用卡和借记卡数据。 简况FIN7组织是一个著名的金融犯罪团伙，通常发起传播恶意软件的网络钓鱼攻击，渗透系统窃取银行卡数据并出售。该团伙以休闲餐厅、赌场和酒店的 PoS 系统为目标，自 2020 年以来，还增加了勒索软件以及数据泄露攻击，使用 ZoomInfo 服务根据受害者的收入确定目标。

FIN7又名CARBON SPIDER，自 2013 年以来一直活跃，是最早开始运营的网络犯罪组织之一。2021 年 8 月 30 日，研究人员发表报告，介绍了CARBON SPIDER组织在2015年到2021年之间，攻击方式的转变、使用的工具的发展，以及研究人员将Darkside归因于CARBON SPIDER组织的原因。 简况CARBON SPIDER组织在 2015 年至 2020 年期间，针对酒店公司 POS 设备开展小规模攻击活动，使用的恶意软件包括 Sekur RAT, VB Flash, Bateleur和Harpy。攻击者使用包括PILLOWMINT在内的 POS 恶意软件收集并出售信用卡跟踪数据。