FIN8重出江湖!或预示新一轮全球POS系统攻击浪潮

栏目: 编程工具 · 发布时间: 5年前

内容简介:研究人员发现了一项针对酒店娱乐行业的新攻击事件,采用恶意软件ShellTea / PunchBuggy后门是自2017年以来首次被发现使用的,这也被认为是FIN8集团偃旗息鼓两年多后在2019年的首秀。FIN自2017年以来一直很安静,上次有人报道FIN8黑客是在2016年和2017年,当时FireEye和root9B发布了一系列针对零售行业PoS系统的攻击报告。2017年6月FireEye使用了其“PUNCHTRACK POS-scraping“恶意软件对FIN8的混淆技术进行了分析。FireEye写道,

研究人员发现了一项针对酒店娱乐行业的新攻击事件,采用恶意软件ShellTea / PunchBuggy后门是自2017年以来首次被发现使用的,这也被认为是FIN8集团偃旗息鼓两年多后在2019年的首秀。

FIN自2017年以来一直很安静,上次有人报道FIN8黑客是在2016年和2017年,当时FireEye和root9B发布了一系列针对零售行业PoS系统的攻击报告。

2017年6月FireEye使用了其“PUNCHTRACK POS-scraping“恶意软件对FIN8的混淆技术进行了分析。FireEye写道,

在2017年初,FIN8开始使用环境变量和PowerShell通过StdIn(标准输入)接收命令的能力,以基于进程命令行参数来逃避检测。

在2017年6月,Root9b也对ShellTea进行了分析,但没有指明攻击来源。有趣的是,该公司注意到编码中存在错误:

现在有27个CRC32要在阵列中进行检查,但将进程名称CRC32与哈希列表进行比较的循环跑了108次。

在Root9b的分析中,ShellTea的目的是提供POS恶意软件。 犯罪分子窃取令牌,然后使用这些凭据或创建伪造的Kerberos门票(”黄金门票“)进行横向操纵,获得对PoS网络上网络服务器的访问,为接下来的攻击进行铺垫,然后启动包括wmic.exe 的 shell 命令,将PoS软件(我们称之为PoSlurp)推送到PoS机来启动它。

来自Morphisec的研究人员检测到的ShellTea的新迭代已经纠正了CRC32错误。在2019年3月至5月期间,研究人员报告说发现了“一种新的、高度复杂的ShellTea / PunchBuggy后门恶意软件变种”,它试图渗透属于Morphisec客户网络的许多机器,可能是借助网络钓鱼进行的攻击尝试。

Morphisec认为这次新攻击的目的也类似于投放POS恶意软件,但还不能完全证实这一点。Morphisec通过阻断客户端而发现此恶意软件,因此其最终目的是什么尚无从验证。

一般都认为FIN8与FIN7是独立开的,但有研究人员表示,有一些指标与已知的FIN7攻击(URL和基础设施)是重叠。FIN7因使用Carbanak恶意软件而闻名,据报道,可能在2017年5月至2018年4月期间在北美地区破坏了Saks Fifth Avenue和Lord&Taylor商店。

使用ShellTea的新攻击手段从无文件投放程序开始,使用由注册表项激活的PowerShell代码引向ShellTea,然后注入Explorer。它会检查自己是在沙箱还是虚拟环境中运行,还是正在受到监控。

C2通信通过HTTPS进行。 ShellTea响应它收到的命令,它可能会反射性地加载并执行交付的可执行文件,可能会创建一个文件并将其作为一个进程执行;它可以使用下载的本机Empire ReflectivePicker执行任何PowerShell命令;或者它还可以通过创建一个额外的线程来执行shellcode。此时可能就会下载POS恶意软件。

PowerShell脚本还收集有关用户和网络的信息,包括快照,计算机和用户名,来自注册表的电子邮件,任务计划程序中的任务,系统信息,系统中注册的AV,权限,域和工作组信息。此数据被Gzip压缩并保存在temp文件夹中的随机文件下。这些数据一旦被C2采集到,就会马上被删除。

酒店业,特别是其POS网络,是攻击者的重要目标。 FIN6、FIN7和FIN8组都是针对POS的多次攻击而闻名的。由于许多此类网络运行在Windows 7的POS版本上,因此使得防御变得更加困难。POS属于零售和酒店行业运营技术的一部分,与制造业中的ICS系统存在相同的问题:处理能力有限,反病毒需求很大,有时还会跳过修补和更新,以免干扰系统可用性。

参考及来源:

· https://www.securityweek.com/new-version-shelltea-backdoor-used-fin8-hacking-group

· https://www.zdnet.com/article/fin8-hackers-return-after-two-years-with-attacks-against-hospitality-sector/


以上所述就是小编给大家介绍的《FIN8重出江湖!或预示新一轮全球POS系统攻击浪潮》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

莱昂氏UNIX源代码分析

莱昂氏UNIX源代码分析

(澳)John Lions / 尤晋元 / 机械工业出版社 / 2000-7-1 / 49.00

本书由上、下两篇组成。上篇为UNIX版本6的源代码,下篇是莱昂先生对UNIX操作系统版本6源代码的详细分析。本书语言简洁、透彻,曾作为未公开出版物广泛流传了二十多年,是一部杰出经典之作。本书适合UNIX操作系统编程人员、大专院校师生学习参考使用。一起来看看 《莱昂氏UNIX源代码分析》 这本书的介绍吧!

随机密码生成器
随机密码生成器

多种字符组合密码

SHA 加密
SHA 加密

SHA 加密工具

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具