Hackeri FIN8 sa vracajú s výkonnejšou verziou malvéru BADHATCH PoS

Aktéri hrozieb, ktorí sú známi tým, že sa držia v úzadí, to robia tak, že medzitým zastavia operácie na dlhší čas, aby sa vyhli pripútaniu akejkoľvek pozornosti, ako aj neustále zdokonaľujú svoje súpravy nástrojov, aby lietali pod radarom mnohých detekčných technológií.

Jednou z takýchto skupín je FIN8, finančne motivovaný aktér hrozieb, ktorý je po rok a pol prestávke opäť v akcii s výkonnou verziou backdoor s vylepšenými možnosťami vrátane snímania obrazovky, tunelovania proxy, krádeže poverení a spúšťania bez súborov.

FIN8, prvýkrát zdokumentovaný v roku 2016 spoločnosťou FireEye, je známy svojimi útokmi proti maloobchodnému, pohostinskému a zábavnému priemyslu, pričom využíva širokú škálu techník, ako je spear-phishing a škodlivé nástroje ako PUNCHTRACK a BADHATCH na odcudzenie údajov o platobných kartách. predajné (POS) systémy.

“Skupina FIN8 je známa tým, že si dáva dlhé prestávky na zlepšenie TTP a zvýšenie miery úspešnosti,” uviedli výskumníci Bitdefenderu v dnes zverejnenej správe. “Malvér BADHATCH je vyspelý, vysoko pokročilý backdoor, ktorý používa niekoľko únikových a obranných techník. Nové zadné vrátka sa tiež pokúšajú vyhnúť monitorovaniu bezpečnosti pomocou šifrovania TLS na ukrytie príkazov Powershell.”

BADHATCH bol od svojho objavenia v roku 2019 nasadený ako implantát schopný spúšťať príkazy dodané útočníkom získané zo vzdialeného servera, okrem vkladania škodlivých knižníc DLL do aktuálneho procesu, zhromažďovania systémových informácií a exfiltrácie údajov na server.

Upozorňujeme, že najmenej tri rôzne varianty zadných vrátok (v2.12 až 2.14) boli spozorované od apríla 2020, vedci uviedli, že najnovšia verzia BADHATCH zneužíva legitímnu službu s názvom sslp.io na zmarenie detekcie počas procesu nasadenia, pričom ju používa na stiahnutie skriptu PowerShell, ktorý zase spustí shell kód obsahujúci BADHATCH DLL.

Skript PowerShell sa okrem toho, že preberá zodpovednosť za dosiahnutie trvalosti, stará aj o eskaláciu privilégií, aby sa zabezpečilo, že všetky príkazy po spustení skriptu budú spustené ako používateľ SYSTÉMU.

Okrem toho, druhá úniková technika prijatá FIN8 zahŕňa odovzdávanie komunikácie s príkazovým a riadiacim (C2) serverom, ktoré sa maskuje ako legitímne HTTP požiadavky.

Podľa Bitdefenderu sa nová vlna útokov údajne odohrala za posledný rok a smerovala proti poisťovaciemu, maloobchodnému, technologickému a chemickému priemyslu v USA, Kanade, Južnej Afrike, Portoriku, Paname a Taliansku.

„Rovnako ako väčšina vytrvalých a skúsených aktérov v oblasti počítačovej kriminality, aj operátori FIN8 neustále zdokonaľujú svoje nástroje a taktiky, aby sa vyhli odhaleniu,“ uzavreli výskumníci a vyzvali podniky, aby „oddelili POS siete od tých, ktoré používajú zamestnanci alebo hostia“ a filtrovali e-maily. obsahujúce škodlivé alebo podozrivé prílohy.