FIN8開始針對金融機構(gòu)!利用新的惡意軟件部署后門竊取信息

金融機構(gòu)總是容易成為網(wǎng)絡(luò)攻擊者的目標，他們體積規(guī)模龐大網(wǎng)絡(luò)環(huán)境復(fù)雜，其中任何一個脆弱的環(huán)節(jié)都可能讓黑客大撈一筆。

一個以獲取大筆資金為目標的網(wǎng)絡(luò)犯罪團伙利用一種名為Sardonic的新惡意軟件攻破了美國一家金融機構(gòu)的網(wǎng)絡(luò)。被觀察到在被感染的系統(tǒng)上部署了一個全新的后門，這表明運營商正在不斷地改造他們的惡意軟件庫，以避免被檢測到。

FIN8是此次事件背后的威脅行動者，至少從2016年1月開始活躍，以零售、餐飲、酒店、醫(yī)療和娛樂行業(yè)為目標，最終目標是從POS系統(tǒng)中竊取支付卡數(shù)據(jù)。

這個威脅行為者的惡意武器包括大量的工具和戰(zhàn)術(shù)，從POS惡意軟件(例如BadHatch, PoSlurp/PunchTrack, PowerSniff/PunchBuggy/ShellTea)到Windows零日漏洞和魚叉式釣魚。

羅馬尼亞網(wǎng)絡(luò)安全技術(shù)公司Bitdefender將之前未記錄在案的惡意軟件稱為“ Sardonic ”，在FIN8針對位于美國的一家未名金融機構(gòu)發(fā)起的攻擊失敗后，在調(diào)查中遇到了這種惡意軟件。

安全人員在一份報告中說:“Sardonic后門功能非常強大，可以幫助威脅者在不更新組件的情況下利用新的惡意軟件。”

自2016年1月問世以來，F(xiàn)IN8利用了多種技術(shù)，如魚叉式釣魚和惡意軟件，如PUNCHTRACK和BADHATCH，從銷售點(POS)系統(tǒng)竊取銀行卡數(shù)據(jù)。

該威脅組織以在兩次活動之間延長休息時間以微調(diào)其戰(zhàn)術(shù)，并提高其行動的成功率而聞名，主要通過“l(fā)iving off the land”攻擊，使用內(nèi)置工具和界面進行網(wǎng)絡(luò)入侵，例如PowerShell以及利用sslip.io等合法服務(wù)來掩飾他們的活動。

今年3月初，Bitdefender透露FIN8在中斷一年半之后回歸，其目標是美國、加拿大、南非、波多黎各、巴拿馬和意大利的保險、零售、技術(shù)和化學(xué)行業(yè)，并推出了改進版的BADHATCH 植入程序并具有升級的功能，包括屏幕捕獲、代理隧道、憑據(jù)盜竊和無文件執(zhí)行。

在該公司分析的最新事件中，據(jù)稱滲透到目標網(wǎng)絡(luò)進行詳細的偵察，然后進行橫向移動和特權(quán)升級活動來部署惡意軟件負載。研究人員說:“為了繼續(xù)特權(quán)升級和橫向移動，曾多次嘗試在域控制器上部署Sardonic后門，但惡意的命令行被阻止了?！?/p>

Sardonic用 C++編寫，不僅采取措施在受感染的機器上建立持久性，而且還配備了允許它獲取系統(tǒng)信息、執(zhí)行任意命令以及加載和執(zhí)行附加插件的功能，其結(jié)果被傳輸?shù)竭h程攻擊者控制的服務(wù)器。

如果有什么不同的話，最新的發(fā)展是FIN8通過加強其能力和惡意軟件交付基礎(chǔ)設(shè)施的戰(zhàn)術(shù)發(fā)生轉(zhuǎn)變。在數(shù)字化、移動化、實時化的背景下，金融機構(gòu)帳戶、渠道、數(shù)據(jù)及基礎(chǔ)設(shè)施等方面的關(guān)聯(lián)性不斷增強，業(yè)務(wù)連續(xù)性管理難度增大。不難發(fā)現(xiàn)，針對金融機構(gòu)的網(wǎng)絡(luò)安全事件頻繁發(fā)生，數(shù)據(jù)泄露、盜取加密貨幣、勒索攻擊等等，為企業(yè)帶來嚴重影響。但有些機構(gòu)的安全意識依舊薄弱，一味追求用戶體驗及效率。

為了降低與金融惡意軟件相關(guān)的風險，建議公司更加重視在技術(shù)方面安全建設(shè)，尤其軟件安全是網(wǎng)絡(luò)安全最基礎(chǔ)防線，確保軟件安全要在軟件開發(fā)過程中重視代碼缺陷等問題，利用靜態(tài)代碼檢測等自動化技術(shù)，加強代碼安全建設(shè)及漏洞檢測，通過提升軟件自身安全性為網(wǎng)絡(luò)安全筑牢根基，從而降低金融機構(gòu)遭到網(wǎng)絡(luò)攻擊的風險。Wukong(悟空)靜態(tài)代碼檢測工具，從源碼開始，為您的軟件安全保駕護航!

參讀鏈接：

https://www.woocoom.com/b021.html?id=2512786514d54c5d831b977eddecede9

https://thehackernews.com/2021/08/researchers-uncover-fin8s-new-backdoor.html