事件簡述
美國聯邦調查局與上週五發佈公告，指出近來有勒索軟體組織正試圖利用美國衛生與公眾服務部 (HHS) 和亞馬遜的名義，寄出USB，以針對運輸、保險和國防行業部屬勒索軟體。

 

FIN7
FIN7（又名 Carbanak 或 Navigator Group），從 2015 年就已經存在，通過使用其定制的後門惡意軟體保持對目標公司的持續訪問以及使用 PoS 系統而聲名鵲起，通常針對休閒餐廳、賭場和酒店。但在 2020 年開始，FIN7 也開始了勒索軟體活動。

根據 FBI 的說法，在過去幾個月中，FIN7 已將惡意 USB 設備透過偽裝成COVID-19指引文件，郵寄給美國公司。有的則將自己偽裝成亞馬遜公司，把包裹其包裝成感謝禮盒，禮盒內通常包含一封感謝信、禮品卡及包含惡意軟體的USB。當有人插入USB，便會出發BadUSB攻擊，惡意軟體會感染系統，從而為未來的勒索軟體攻擊做好準備。

BadUSB攻擊下，USB隨身碟會將自己註冊為鍵盤，並在用戶電腦送入預先設置的鍵擊組合。這些鍵擊組合可執行 PowerShell 指令，在用戶電腦下載安裝後門程式GRIFFON、木馬程式 DICELOADER、Carbanak 後門、勒索軟體 BlackMatter、REvil 或 Cobalt Strike、Metasploit 等程式。

 

參考資料：
https://www.ithome.com.tw/news/148786
https://threatpost.com/fin7-mailing-malicious-usb-sticks-ransomware/177541/