研究人员发现,FIN8网络攻击团伙在相对平静一段时间后重新浮出水面。该团伙正在使用新版本的BadHatch后门来危害化工、保险、零售和科技行业的公司。根据Bitdefender本周的分析,这些攻击已在世界各地的组织中出现,主要在加拿大、意大利、巴拿马、波多黎各、南非和美国。FIN8是一个网络金融犯罪团伙,其典型的攻击模式是从销售点(PoS)环境中窃取支付卡数据,尤其是在零售、餐饮和酒店业。该组织至少从2016年开始活跃,但其特点之一是潜伏攻击。据Bitdefender威胁研究总监BogdanBotezatu介绍,在这种情况下,FIN8上一次攻击目标是在2019年年中。“他们已经休眠了18个月(他们在2017年和2019年进行了很多攻击),尽管在那段时间他们一直在测试对小范围目标的攻击,”他告诉Threatpost。FIN8小规模试水到目前为止,Bitdefender在监控之前FIN8攻击中使用的基础设施时,已经检测到针对7个目标的攻击。Botezatu告诉Threatpost:“虽然这听起来难以置信,但众所周知,在发起大规模攻击之前,FIN8会先在小范围内进行小规模攻击测试,然后逐渐增加攻击量。保险机制可以验证在正式开展攻击业务之前,先了解小规模攻击的可行性。”他补充说,2020年还观察到了许多其他攻击测试。这种引导攻击的方法通常是由于犯罪集团完善或增加了其内部武器库。事实上,在最近的活动中发现了新版本的BadHatch后门。在2020年和今年的活动中,已发现修改后的BadHatch后门用于三个不同的活动。“2020年年中是从2.12版到当前2.14版的过渡期(2.14是在2020年圣诞节期间部署的),”Botezatu说。不断发展的BadHatch恶意软件BadHatch是FIN8的自定义恶意软件,也用于2019年的攻击。根据Bitdefender周三发布的一项分析,它现在已经全面检修,在持久性、加密、信息收集和执行横向移动的能力方面有了显着改进。例如,最新版本的后门(v.2.14)使用sslip.io,它提供免费的IP到域映射服务,使SSL证书的生成更加容易。在传输中,BatchHatch还使用加密来隐藏PowerShell命令。Botezatu说,虽然这项服务是合法的并且被广泛使用。但恶意软件正在滥用它并逃避安全检测。“这种技术阻止了一些安全和监控解决方案在命令和控制服务器(C2)交付期间识别和阻止PowerShell脚本的能力,这对于实现隐身和持久性非常重要,”他告诉Threatpost。角色。”该恶意软件还增强了其窥探能力,例如通过截取屏幕截图以了解有关受害者网络的更多信息,从而更好地在组织的网络环境中横向移动。“横向移动步骤非常重要,因为它针对的是POS网络,”Botezatu解释说。“由于恶意软件通常通过恶意附件进行传播,目标受害者可以是网络上的任何人,恶意软件必须从一个终端跳到另一个终端,直到到达网络上的真正目标——POS设备。”最新版本BadHatch的软件还提供了文件下载功能,未来有可能获取信用卡数据以外的其他类型的数据。”攻击者横向移动并从可用于多种目的的指定位置下载额外的有效载荷,”Botezatu说。“就像最复杂的作为网络攻击者,FIN8运营商不断改进他们的工具和战术。但是他们的进攻节奏真的很容易被预料到。研究人员表示,最新的活动表明预计很快会发生更广泛的攻击。Botezatu表示:“FIN8是金融欺诈生态系统中的顶级攻击者。他们需要长时间的蛰伏来完善他们的工具,并投入大量资金来规避传统的安全审查。只有在他们的工具通过小范围测试后才能开始。对受害者的广泛攻击。》本文翻译自:https://threatpost.com/fin8-resurfaces-backdoor-malware/164684/如有转载请注明原文地址。
