内容简介:研究人员发现了一项针对酒店娱乐行业的新攻击事件,采用恶意软件ShellTea / PunchBuggy后门是自2017年以来首次被发现使用的,这也被认为是FIN8集团偃旗息鼓两年多后在2019年的首秀。FIN自2017年以来一直很安静,上次有人报道FIN8黑客是在2016年和2017年,当时FireEye和root9B发布了一系列针对零售行业PoS系统的攻击报告。2017年6月FireEye使用了其“PUNCHTRACK POS-scraping“恶意软件对FIN8的混淆技术进行了分析。FireEye写道,
研究人员发现了一项针对酒店娱乐行业的新攻击事件,采用恶意软件ShellTea / PunchBuggy后门是自2017年以来首次被发现使用的,这也被认为是FIN8集团偃旗息鼓两年多后在2019年的首秀。
FIN自2017年以来一直很安静,上次有人报道FIN8黑客是在2016年和2017年,当时FireEye和root9B发布了一系列针对零售行业PoS系统的攻击报告。
2017年6月FireEye使用了其“PUNCHTRACK POS-scraping“恶意软件对FIN8的混淆技术进行了分析。FireEye写道,
在2017年初,FIN8开始使用环境变量和PowerShell通过StdIn(标准输入)接收命令的能力,以基于进程命令行参数来逃避检测。
在2017年6月,Root9b也对ShellTea进行了分析,但没有指明攻击来源。有趣的是,该公司注意到编码中存在错误:
现在有27个CRC32要在阵列中进行检查,但将进程名称CRC32与哈希列表进行比较的循环跑了108次。
在Root9b的分析中,ShellTea的目的是提供POS恶意软件。 犯罪分子窃取令牌,然后使用这些凭据或创建伪造的Kerberos门票(”黄金门票“)进行横向操纵,获得对PoS网络上网络服务器的访问,为接下来的攻击进行铺垫,然后启动包括wmic.exe 的 shell 命令,将PoS软件(我们称之为PoSlurp)推送到PoS机来启动它。
来自Morphisec的研究人员检测到的ShellTea的新迭代已经纠正了CRC32错误。在2019年3月至5月期间,研究人员报告说发现了“一种新的、高度复杂的ShellTea / PunchBuggy后门恶意软件变种”,它试图渗透属于Morphisec客户网络的许多机器,可能是借助网络钓鱼进行的攻击尝试。
Morphisec认为这次新攻击的目的也类似于投放POS恶意软件,但还不能完全证实这一点。Morphisec通过阻断客户端而发现此恶意软件,因此其最终目的是什么尚无从验证。
一般都认为FIN8与FIN7是独立开的,但有研究人员表示,有一些指标与已知的FIN7攻击(URL和基础设施)是重叠。FIN7因使用Carbanak恶意软件而闻名,据报道,可能在2017年5月至2018年4月期间在北美地区破坏了Saks Fifth Avenue和Lord&Taylor商店。
使用ShellTea的新攻击手段从无文件投放程序开始,使用由注册表项激活的PowerShell代码引向ShellTea,然后注入Explorer。它会检查自己是在沙箱还是虚拟环境中运行,还是正在受到监控。
C2通信通过HTTPS进行。 ShellTea响应它收到的命令,它可能会反射性地加载并执行交付的可执行文件,可能会创建一个文件并将其作为一个进程执行;它可以使用下载的本机Empire ReflectivePicker执行任何PowerShell命令;或者它还可以通过创建一个额外的线程来执行shellcode。此时可能就会下载POS恶意软件。
PowerShell脚本还收集有关用户和网络的信息,包括快照,计算机和用户名,来自注册表的电子邮件,任务计划程序中的任务,系统信息,系统中注册的AV,权限,域和工作组信息。此数据被Gzip压缩并保存在temp文件夹中的随机文件下。这些数据一旦被C2采集到,就会马上被删除。
酒店业,特别是其POS网络,是攻击者的重要目标。 FIN6、FIN7和FIN8组都是针对POS的多次攻击而闻名的。由于许多此类网络运行在Windows 7的POS版本上,因此使得防御变得更加困难。POS属于零售和酒店行业运营技术的一部分,与制造业中的ICS系统存在相同的问题:处理能力有限,反病毒需求很大,有时还会跳过修补和更新,以免干扰系统可用性。
参考及来源:
· https://www.securityweek.com/new-version-shelltea-backdoor-used-fin8-hacking-group
以上所述就是小编给大家介绍的《FIN8重出江湖!或预示新一轮全球POS系统攻击浪潮》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
构建高性能Web站点
郭欣 / 电子工业出版社 / 2012-6 / 75.00元
《构建高性能Web站点(修订版)》是畅销修订版,围绕如何构建高性能Web站点,从多个方面、多个角度进行了全面的阐述,几乎涵盖了Web站点性能优化的所有内容,包括数据的网络传输、服务器并发处理能力、动态网页缓存、动态网页静态化、应用层数据缓存、分布式缓存、Web服务器缓存、反向代理缓存、脚本解释速度、页面组件分离、浏览器本地缓存、浏览器并发请求、文件的分发、数据库I/O优化、数据库访问、数据库分布式......一起来看看 《构建高性能Web站点》 这本书的介绍吧!
RGB转16进制工具
RGB HEX 互转工具
HEX CMYK 转换工具
HEX CMYK 互转工具