FIN8重出江湖！或预示新一轮全球POS系统攻击浪潮

研究人员发现了一项针对酒店娱乐行业的新攻击事件，采用恶意软件ShellTea / PunchBuggy后门是自2017年以来首次被发现使用的，这也被认为是FIN8集团偃旗息鼓两年多后在2019年的首秀。

FIN自2017年以来一直很安静，上次有人报道FIN8黑客是在2016年和2017年，当时FireEye和root9B发布了一系列针对零售行业PoS系统的攻击报告。

2017年6月FireEye使用了其“PUNCHTRACK POS-scraping“恶意软件对FIN8的混淆技术进行了分析。FireEye写道，

在2017年初，FIN8开始使用环境变量和PowerShell通过StdIn（标准输入）接收命令的能力，以基于进程命令行参数来逃避检测。

在2017年6月，Root9b也对ShellTea进行了分析，但没有指明攻击来源。有趣的是，该公司注意到编码中存在错误：

现在有27个CRC32要在阵列中进行检查，但将进程名称CRC32与哈希列表进行比较的循环跑了108次。

在Root9b的分析中，ShellTea的目的是提供POS恶意软件。 犯罪分子窃取令牌，然后使用这些凭据或创建伪造的Kerberos门票（”黄金门票“）进行横向操纵，获得对PoS网络上网络服务器的访问，为接下来的攻击进行铺垫，然后启动包括wmic.exe 的 shell 命令，将PoS软件（我们称之为PoSlurp）推送到PoS机来启动它。

来自Morphisec的研究人员检测到的ShellTea的新迭代已经纠正了CRC32错误。在2019年3月至5月期间，研究人员报告说发现了“一种新的、高度复杂的ShellTea / PunchBuggy后门恶意软件变种”，它试图渗透属于Morphisec客户网络的许多机器，可能是借助网络钓鱼进行的攻击尝试。

Morphisec认为这次新攻击的目的也类似于投放POS恶意软件，但还不能完全证实这一点。Morphisec通过阻断客户端而发现此恶意软件，因此其最终目的是什么尚无从验证。

一般都认为FIN8与FIN7是独立开的，但有研究人员表示，有一些指标与已知的FIN7攻击（URL和基础设施）是重叠。FIN7因使用Carbanak恶意软件而闻名，据报道，可能在2017年5月至2018年4月期间在北美地区破坏了Saks Fifth Avenue和Lord＆Taylor商店。

使用ShellTea的新攻击手段从无文件投放程序开始，使用由注册表项激活的PowerShell代码引向ShellTea，然后注入Explorer。它会检查自己是在沙箱还是虚拟环境中运行，还是正在受到监控。

C2通信通过HTTPS进行。 ShellTea响应它收到的命令，它可能会反射性地加载并执行交付的可执行文件，可能会创建一个文件并将其作为一个进程执行;它可以使用下载的本机Empire ReflectivePicker执行任何PowerShell命令;或者它还可以通过创建一个额外的线程来执行shellcode。此时可能就会下载POS恶意软件。

PowerShell脚本还收集有关用户和网络的信息，包括快照，计算机和用户名，来自注册表的电子邮件，任务计划程序中的任务，系统信息，系统中注册的AV，权限，域和工作组信息。此数据被Gzip压缩并保存在temp文件夹中的随机文件下。这些数据一旦被C2采集到，就会马上被删除。

酒店业，特别是其POS网络，是攻击者的重要目标。 FIN6、FIN7和FIN8组都是针对POS的多次攻击而闻名的。由于许多此类网络运行在Windows 7的POS版本上，因此使得防御变得更加困难。POS属于零售和酒店行业运营技术的一部分，与制造业中的ICS系统存在相同的问题：处理能力有限，反病毒需求很大，有时还会跳过修补和更新，以免干扰系统可用性。

参考及来源：

· https://www.securityweek.com/new-version-shelltea-backdoor-used-fin8-hacking-group

· https://www.zdnet.com/article/fin8-hackers-return-after-two-years-with-attacks-against-hospitality-sector/