研究人员发现,FIN8网络攻击团伙在经历了一段相对平静的时期后,又重新浮出了水面。该团伙正在使用新版的BadHatch后门入侵化学、保险、零售和技术行业的公司。
根据Bitdefender本周的分析,这些攻击已经出现在世界各地的组织中,主要在加拿大、意大利、巴拿马、波多黎各、南非和美国等多个国家。
FIN8是一个网络金融犯罪团伙,它的典型攻击模式是从销售点(PoS)的环境中窃取支付卡的数据,特别是针对零售商、餐馆和酒店行业的销售点。该组织至少从2016年以来就一直很活跃,但它的一个特点就是有攻击的休眠期。
根据Bitdefender威胁研究总监Bogdan Botezatu的说法,在这种情况下,FIN8最后一次对目标进行攻击是在2019年中期。
他告诉Threatpost:"他们已经休眠了18个月(他们在2017年和2019年进行了大量的攻击),虽然在此期间他们一直在小范围的目标上进行攻击测试"。
FIN8在小范围内进行试水
到目前为止,Bitdefender在对之前FIN8进行攻击时使用的基础设施的监测中发现了针对七个目标进行的攻击。
Botezatu告诉Threatpost:"虽然这可能听起来难以置信,但众所周知,FIN8在开展大范围的攻击之前,都会在小范围的区域内进行小规模的攻击测试,然后逐渐增大攻击量,这是一种保险机制,在正式开展攻击业务之前,可以在一个很小的范围内验证攻击的可行性。"
他补充说,在2020年还有其他很多已经被观察到的攻击测试。
这种试点攻击的方法通常是由于犯罪集团已经完善或增加了他们的内部武器库。事实上,在最新的一次攻击活动中发现了新版的BadHatch后门。
在2020年和今年的攻击活动中,已经发现有三个不同的攻击活动中都使用了改造后的BadHatch后门。
Botezatu说:"2020年中期是2.12版本到当前的2.14版本的过渡期(2.14版本是在2020年圣诞节期间进行部署的)"。
不断演变的BadHatch恶意软件
BadHatch是一款由FIN8定制的恶意软件,也曾在2019年的攻击中使用过。根据Bitdefender周三发布的分析报告显示,它现在已经得到了全面的提升,在持久性、加密、信息收集和执行横向移动的能力方面有了明显的改进。
例如,最新版本的后门(v. 2.14)中使用了sslip.io,它提供了免费的IP到域名映射的服务,使SSL证书的生成更加容易。而在传输中, BatchHatch也使用了加密的方式来隐藏PowerShell命令。Botezatu称,虽然该服务是合法的,而且被广泛的使用。但恶意软件却在滥用它,并且逃避了安全检测。
他告诉Threatpost:"这一技术阻止了一些安全和监控解决方案在命令和控制服务器(C2)交付期间识别和阻止PowerShell脚本的功能,这在很大程度上对实现隐身和持久性方面起到重要的作用。"
该恶意软件也增加了它的窥探能力,例如为了能更好地在组织网络环境中横向移动,该软件还可以通过抓取屏幕截图来了解更多的关于受害者网络的信息。
Botezatu解释说:"横向移动这一步骤非常重要,因为它的攻击目标是POS网络。由于恶意软件通常是通过恶意附件实现交付的,目标受害者可以是网络上的任何人,而恶意软件必须要从一个终端跳到另一个终端,直到到达网络上的真正目标--POS设备。"
最新版本的BadHatch软件还提供了文件下载功能,将来可能还会获得除了信用卡数据之外的其他类型的数据。
Botezatu说:"BadHatch一直在对POS进行相关的攻击,但它也扩展了后门的功能,可以让攻击者进行横向移动,还能从指定位置下载其他有效载荷,这些有效载荷可以发挥多种作用。"
像大多数老练的网络攻击者一样,FIN8运营商正在不断完善他们的工具和战术。 但他们的攻击节奏确实很容易被人预测到。研究人员称,最新的攻击活动表明,预计很快会有更广泛的攻击。
Botezatu说:"FIN8是金融诈骗生态系统的顶级攻击者,他们需要长时间的休眠来完善他们的工具,并投入大量资金来规避传统的安全审查。只有他们的工具通过了小范围的测试后才开始对受害者进行大范围的攻击。"
本文翻译自:https://threatpost.com/fin8-resurfaces-backdoor-malware/164684/如若转载,请注明原文地址。