FIN8重出江湖!或预示新一轮全球POS系统攻击浪潮

Rossa 事件 2019年6月16日发布
Favorite收藏

导语:一项针对酒店娱乐行业的新攻击事件,采用的ShellTea / PunchBuggy后门是自2017年以来首次被发现使用的,被认为是FIN8集团偃旗息鼓两年多后在2019年的首秀。

研究人员发现了一项针对酒店娱乐行业的新攻击事件,采用恶意软件ShellTea / PunchBuggy后门是自2017年以来首次被发现使用的,这也被认为是FIN8集团偃旗息鼓两年多后在2019年的首秀。

FIN自2017年以来一直很安静,上次有人报道FIN8黑客是在2016年和2017年,当时FireEye和root9B发布了一系列针对零售行业PoS系统的攻击报告。

2017年6月FireEye使用了其“PUNCHTRACK POS-scraping“恶意软件对FIN8的混淆技术进行了分析。FireEye写道,

在2017年初,FIN8开始使用环境变量和PowerShell通过StdIn(标准输入)接收命令的能力,以基于进程命令行参数来逃避检测。

在2017年6月,Root9b也对ShellTea进行了分析,但没有指明攻击来源。有趣的是,该公司注意到编码中存在错误:

现在有27个CRC32要在阵列中进行检查,但将进程名称CRC32与哈希列表进行比较的循环跑了108次。

在Root9b的分析中,ShellTea的目的是提供POS恶意软件。 犯罪分子窃取令牌,然后使用这些凭据或创建伪造的Kerberos门票(”黄金门票“)进行横向操纵,获得对PoS网络上网络服务器的访问,为接下来的攻击进行铺垫,然后启动包括wmic.exe 的shell命令,将PoS软件(我们称之为PoSlurp)推送到PoS机来启动它。

来自Morphisec的研究人员检测到的ShellTea的新迭代已经纠正了CRC32错误。在2019年3月至5月期间,研究人员报告说发现了“一种新的、高度复杂的ShellTea / PunchBuggy后门恶意软件变种”,它试图渗透属于Morphisec客户网络的许多机器,可能是借助网络钓鱼进行的攻击尝试。 

Morphisec认为这次新攻击的目的也类似于投放POS恶意软件,但还不能完全证实这一点。Morphisec通过阻断客户端而发现此恶意软件,因此其最终目的是什么尚无从验证。

一般都认为FIN8与FIN7是独立开的,但有研究人员表示,有一些指标与已知的FIN7攻击(URL和基础设施)是重叠。FIN7因使用Carbanak恶意软件而闻名,据报道,可能在2017年5月至2018年4月期间在北美地区破坏了Saks Fifth Avenue和Lord&Taylor商店。

使用ShellTea的新攻击手段从无文件投放程序开始,使用由注册表项激活的PowerShell代码引向ShellTea,然后注入Explorer。它会检查自己是在沙箱还是虚拟环境中运行,还是正在受到监控。

C2通信通过HTTPS进行。 ShellTea响应它收到的命令,它可能会反射性地加载并执行交付的可执行文件,可能会创建一个文件并将其作为一个进程执行;它可以使用下载的本机Empire ReflectivePicker执行任何PowerShell命令;或者它还可以通过创建一个额外的线程来执行shellcode。此时可能就会下载POS恶意软件。

PowerShell脚本还收集有关用户和网络的信息,包括快照,计算机和用户名,来自注册表的电子邮件,任务计划程序中的任务,系统信息,系统中注册的AV,权限,域和工作组信息。此数据被Gzip压缩并保存在temp文件夹中的随机文件下。这些数据一旦被C2采集到,就会马上被删除。

酒店业,特别是其POS网络,是攻击者的重要目标。 FIN6、FIN7和FIN8组都是针对POS的多次攻击而闻名的。由于许多此类网络运行在Windows 7的POS版本上,因此使得防御变得更加困难。POS属于零售和酒店行业运营技术的一部分,与制造业中的ICS系统存在相同的问题:处理能力有限,反病毒需求很大,有时还会跳过修补和更新,以免干扰系统可用性。

参考及来源:

· https://www.securityweek.com/new-version-shelltea-backdoor-used-fin8-hacking-group

· https://www.zdnet.com/article/fin8-hackers-return-after-two-years-with-attacks-against-hospitality-sector/

本文翻译自:https://www.securityweek.com/new-version-shelltea-backdoor-used-fin8-hacking-group如若转载,请注明原文地址: https://www.4hou.com/other/18541.html
点赞 5
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论