研究人員發(fā)現(xiàn)，F(xiàn)IN8網(wǎng)絡(luò)攻擊團(tuán)伙在經(jīng)歷了一段相對(duì)平靜的時(shí)期后，又重新浮出了水面。該團(tuán)伙正在使用新版的BadHatch后門(mén)入侵化學(xué)、保險(xiǎn)、零售和技術(shù)行業(yè)的公司。

根據(jù)Bitdefender本周的分析，這些攻擊已經(jīng)出現(xiàn)在世界各地的組織中，主要在加拿大、意大利、巴拿馬、波多黎各、南非和美國(guó)等多個(gè)國(guó)家。

FIN8是一個(gè)網(wǎng)絡(luò)金融犯罪團(tuán)伙，它的典型攻擊模式是從銷(xiāo)售點(diǎn)(PoS)的環(huán)境中竊取支付卡的數(shù)據(jù)，特別是針對(duì)零售商、餐館和酒店行業(yè)的銷(xiāo)售點(diǎn)。該組織至少?gòu)?016年以來(lái)就一直很活躍，但它的一個(gè)特點(diǎn)就是有攻擊的休眠期。

根據(jù)Bitdefender威脅研究總監(jiān)Bogdan Botezatu的說(shuō)法，在這種情況下，F(xiàn)IN8最后一次對(duì)目標(biāo)進(jìn)行攻擊是在2019年中期。

他告訴Threatpost："他們已經(jīng)休眠了18個(gè)月(他們?cè)?017年和2019年進(jìn)行了大量的攻擊)，雖然在此期間他們一直在小范圍的目標(biāo)上進(jìn)行攻擊測(cè)試"。

FIN8在小范圍內(nèi)進(jìn)行試水

到目前為止，Bitdefender在對(duì)之前FIN8進(jìn)行攻擊時(shí)使用的基礎(chǔ)設(shè)施的監(jiān)測(cè)中發(fā)現(xiàn)了針對(duì)七個(gè)目標(biāo)進(jìn)行的攻擊。

Botezatu告訴Threatpost："雖然這可能聽(tīng)起來(lái)難以置信，但眾所周知，F(xiàn)IN8在開(kāi)展大范圍的攻擊之前，都會(huì)在小范圍的區(qū)域內(nèi)進(jìn)行小規(guī)模的攻擊測(cè)試，然后逐漸增大攻擊量，這是一種保險(xiǎn)機(jī)制，在正式開(kāi)展攻擊業(yè)務(wù)之前，可以在一個(gè)很小的范圍內(nèi)驗(yàn)證攻擊的可行性。"

他補(bǔ)充說(shuō)，在2020年還有其他很多已經(jīng)被觀察到的攻擊測(cè)試。

這種試點(diǎn)攻擊的方法通常是由于犯罪集團(tuán)已經(jīng)完善或增加了他們的內(nèi)部武器庫(kù)。事實(shí)上，在最新的一次攻擊活動(dòng)中發(fā)現(xiàn)了新版的BadHatch后門(mén)。

在2020年和今年的攻擊活動(dòng)中，已經(jīng)發(fā)現(xiàn)有三個(gè)不同的攻擊活動(dòng)中都使用了改造后的BadHatch后門(mén)。

Botezatu說(shuō)："2020年中期是2.12版本到當(dāng)前的2.14版本的過(guò)渡期(2.14版本是在2020年圣誕節(jié)期間進(jìn)行部署的)"。

不斷演變的BadHatch惡意軟件

BadHatch是一款由FIN8定制的惡意軟件，也曾在2019年的攻擊中使用過(guò)。根據(jù)Bitdefender周三發(fā)布的分析報(bào)告顯示，它現(xiàn)在已經(jīng)得到了全面的提升，在持久性、加密、信息收集和執(zhí)行橫向移動(dòng)的能力方面有了明顯的改進(jìn)。

例如，最新版本的后門(mén)(v. 2.14)中使用了sslip.io，它提供了免費(fèi)的IP到域名映射的服務(wù)，使SSL證書(shū)的生成更加容易。而在傳輸中， BatchHatch也使用了加密的方式來(lái)隱藏PowerShell命令。Botezatu稱(chēng)，雖然該服務(wù)是合法的，而且被廣泛的使用。但惡意軟件卻在濫用它，并且逃避了安全檢測(cè)。

他告訴Threatpost："這一技術(shù)阻止了一些安全和監(jiān)控解決方案在命令和控制服務(wù)器(C2)交付期間識(shí)別和阻止PowerShell腳本的功能，這在很大程度上對(duì)實(shí)現(xiàn)隱身和持久性方面起到重要的作用。"

該惡意軟件也增加了它的窺探能力，例如為了能更好地在組織網(wǎng)絡(luò)環(huán)境中橫向移動(dòng)，該軟件還可以通過(guò)抓取屏幕截圖來(lái)了解更多的關(guān)于受害者網(wǎng)絡(luò)的信息。

Botezatu解釋說(shuō)："橫向移動(dòng)這一步驟非常重要，因?yàn)樗墓裟繕?biāo)是POS網(wǎng)絡(luò)。由于惡意軟件通常是通過(guò)惡意附件實(shí)現(xiàn)交付的，目標(biāo)受害者可以是網(wǎng)絡(luò)上的任何人，而惡意軟件必須要從一個(gè)終端跳到另一個(gè)終端，直到到達(dá)網(wǎng)絡(luò)上的真正目標(biāo)--POS設(shè)備。"

最新版本的BadHatch軟件還提供了文件下載功能，將來(lái)可能還會(huì)獲得除了信用卡數(shù)據(jù)之外的其他類(lèi)型的數(shù)據(jù)。

Botezatu說(shuō)："BadHatch一直在對(duì)POS進(jìn)行相關(guān)的攻擊，但它也擴(kuò)展了后門(mén)的功能，可以讓攻擊者進(jìn)行橫向移動(dòng)，還能從指定位置下載其他有效載荷，這些有效載荷可以發(fā)揮多種作用。"

像大多數(shù)老練的網(wǎng)絡(luò)攻擊者一樣，F(xiàn)IN8運(yùn)營(yíng)商正在不斷完善他們的工具和戰(zhàn)術(shù)。 但他們的攻擊節(jié)奏確實(shí)很容易被人預(yù)測(cè)到。研究人員稱(chēng)，最新的攻擊活動(dòng)表明，預(yù)計(jì)很快會(huì)有更廣泛的攻擊。

Botezatu說(shuō)："FIN8是金融詐騙生態(tài)系統(tǒng)的頂級(jí)攻擊者，他們需要長(zhǎng)時(shí)間的休眠來(lái)完善他們的工具，并投入大量資金來(lái)規(guī)避傳統(tǒng)的安全審查。只有他們的工具通過(guò)了小范圍的測(cè)試后才開(kāi)始對(duì)受害者進(jìn)行大范圍的攻擊。"

本文翻譯自：https://threatpost.com/fin8-resurfaces-backdoor-malware/164684/如若轉(zhuǎn)載，請(qǐng)注明原文地址。