时隔两年，黑客组织 FIN8 重出江湖

距上次公开报道FIN8的黑客活动已有两年之久，最近，安全研究人员表示，他们新发现了一波围绕酒店业展开的攻击活动，而此次活动的主导，被认定是FIN8所为。

FIN即英文单词金融的缩写，顾名思义，该组织是一个专注于追求经济利益的黑客组织，而不是其他专注于情报收集和网络间谍活动的APT（高级持续威胁）组织，所以严格意义上，把FIN称作黑客组织更为准确。

虽然一些FIN组织专注于破坏银行网络或通过大规模ATM提款机进而窃取资金，但FIN8组织长期以来一直瞄准POS机系统，通过植入恶意软件以窃取信用卡数据，然后将其在黑客论坛上出售以获取利润。

FIN8自2017年以来一直很安静

上次有关FIN8的报道是在2016年和2017年，当时FireEye和root9B发布了一系列针对零售行业PoS系统攻击的调查报告。

当时，该组织使用鱼叉攻击和Windows零日漏洞（CVE-2016-0167）来感染美国零售商的网络与ShellTea后门（DDL文件下载器），然后在系统内植入PunchTrack恶意软件（POS机内存提取工具） - 用于窃取POS系统内的银行卡数据。

从那以后，FIN8活动便偃旗息鼓，偶尔隔几个月，会在VirusTotal上报出个别与该组织有关的恶意样本。

2019年发现新的攻击事件

但在6月11号网络安全公司Morphisec发布的一份报告中，他们发现FIN正在针对酒店行业开展新的攻击活动。

这些新的攻击利用了该组过去曾经使用过的恶意软件，但是这些软件的隐蔽性和持久性得到了大幅提升。这表明该组织自上次被发现以来的两年内，始终在潜心研究新的逃逸手段。

Moprihsec首席技术官Michael Gorelik表示，“这是2019年观察到的第一次攻击，有很大概率是FIN8所为，尽管有一些IoC与已知的FIN7攻击相同。”

他的观察结果证实了之前许多其他恶意软件研究人员的评论，他们之前曾在FIN6，FIN7和FIN8的活动中看到类似的交叉重叠。

虽然共享服务器基础设施和TTP可能会让一些人认为这三个组织其实是同一拨人，但事实上他们可能并不是。

这个黑暗的、神秘的网络犯罪世界充斥着可租用的服务和黑客。这也很容易解释为什么这三个组织可以共享上述资源，使用共同的供应链来打理团队运营的各个方面。

FIN8的回归标志着全球POS系统攻击将会增加。Gorelik在一份报告中称：“除了FIN8的这次攻击之外，我们还看到了FIN6，FIN7和其他人的多次攻击。”

技术部分参考链接：

http://blog.morphisec.com/security-alert-fin8-is-back

别人看情报，

我们看内幕！