研究人員發(fā)現(xiàn)，F(xiàn)IN8網絡攻擊團伙在經歷了一段相對平靜的時期后，又重新浮出了水面。該團伙正在使用新版的BadHatch后門入侵化學、保險、零售和技術行業(yè)的公司。

根據(jù)Bitdefender本周的分析，這些攻擊已經出現(xiàn)在世界各地的組織中，主要在加拿大、意大利、巴拿馬、波多黎各、南非和美國等多個國家。

FIN8是一個網絡金融犯罪團伙，它的典型攻擊模式是從銷售點(PoS)的環(huán)境中竊取支付卡的數(shù)據(jù)，特別是針對零售商、餐館和酒店行業(yè)的銷售點。該組織至少從2016年以來就一直很活躍，但它的一個特點就是有攻擊的休眠期。

根據(jù)Bitdefender威脅研究總監(jiān)Bogdan Botezatu的說法，在這種情況下，F(xiàn)IN8最后一次對目標進行攻擊是在2019年中期。

他告訴Threatpost："他們已經休眠了18個月(他們在2017年和2019年進行了大量的攻擊)，雖然在此期間他們一直在小范圍的目標上進行攻擊測試"。

FIN8在小范圍內進行試水

到目前為止，Bitdefender在對之前FIN8進行攻擊時使用的基礎設施的監(jiān)測中發(fā)現(xiàn)了針對七個目標進行的攻擊。

Botezatu告訴Threatpost："雖然這可能聽起來難以置信，但眾所周知，F(xiàn)IN8在開展大范圍的攻擊之前，都會在小范圍的區(qū)域內進行小規(guī)模的攻擊測試，然后逐漸增大攻擊量，這是一種保險機制，在正式開展攻擊業(yè)務之前，可以在一個很小的范圍內驗證攻擊的可行性。"

他補充說，在2020年還有其他很多已經被觀察到的攻擊測試。

這種試點攻擊的方法通常是由于犯罪集團已經完善或增加了他們的內部武器庫。事實上，在最新的一次攻擊活動中發(fā)現(xiàn)了新版的BadHatch后門。

在2020年和今年的攻擊活動中，已經發(fā)現(xiàn)有三個不同的攻擊活動中都使用了改造后的BadHatch后門。

Botezatu說："2020年中期是2.12版本到當前的2.14版本的過渡期(2.14版本是在2020年圣誕節(jié)期間進行部署的)"。

不斷演變的BadHatch惡意軟件

BadHatch是一款由FIN8定制的惡意軟件，也曾在2019年的攻擊中使用過。根據(jù)Bitdefender周三發(fā)布的分析報告顯示，它現(xiàn)在已經得到了全面的提升，在持久性、加密、信息收集和執(zhí)行橫向移動的能力方面有了明顯的改進。

例如，最新版本的后門(v. 2.14)中使用了sslip.io，它提供了免費的IP到域名映射的服務，使SSL證書的生成更加容易。而在傳輸中， BatchHatch也使用了加密的方式來隱藏PowerShell命令。Botezatu稱，雖然該服務是合法的，而且被廣泛的使用。但惡意軟件卻在濫用它，并且逃避了安全檢測。

他告訴Threatpost："這一技術阻止了一些安全和監(jiān)控解決方案在命令和控制服務器(C2)交付期間識別和阻止PowerShell腳本的功能，這在很大程度上對實現(xiàn)隱身和持久性方面起到重要的作用。"

該惡意軟件也增加了它的窺探能力，例如為了能更好地在組織網絡環(huán)境中橫向移動，該軟件還可以通過抓取屏幕截圖來了解更多的關于受害者網絡的信息。

Botezatu解釋說："橫向移動這一步驟非常重要，因為它的攻擊目標是POS網絡。由于惡意軟件通常是通過惡意附件實現(xiàn)交付的，目標受害者可以是網絡上的任何人，而惡意軟件必須要從一個終端跳到另一個終端，直到到達網絡上的真正目標--POS設備。"

最新版本的BadHatch軟件還提供了文件下載功能，將來可能還會獲得除了信用卡數(shù)據(jù)之外的其他類型的數(shù)據(jù)。

Botezatu說："BadHatch一直在對POS進行相關的攻擊，但它也擴展了后門的功能，可以讓攻擊者進行橫向移動，還能從指定位置下載其他有效載荷，這些有效載荷可以發(fā)揮多種作用。"

像大多數(shù)老練的網絡攻擊者一樣，F(xiàn)IN8運營商正在不斷完善他們的工具和戰(zhàn)術。 但他們的攻擊節(jié)奏確實很容易被人預測到。研究人員稱，最新的攻擊活動表明，預計很快會有更廣泛的攻擊。

Botezatu說："FIN8是金融詐騙生態(tài)系統(tǒng)的頂級攻擊者，他們需要長時間的休眠來完善他們的工具，并投入大量資金來規(guī)避傳統(tǒng)的安全審查。只有他們的工具通過了小范圍的測試后才開始對受害者進行大范圍的攻擊。"

本文翻譯自：https://threatpost.com/fin8-resurfaces-backdoor-malware/164684/如若轉載，請注明原文地址。