研究人员发现,FIN8网络攻击团伙在经历了一段相对平静的时期后,又重新浮出了水面。该团伙正在使用新版的BadHatch后门入侵化学、保险、零售和技术行业的公司。
根据Bitdefender本周的分析,这些攻击已经出现在世界各地的组织中,主要在加拿大、意大利、巴拿马、波多黎各、南非和美国等多个国家。
FIN8是一个网络金融犯罪团伙,它的典型攻击模式是从销售点(PoS)的环境中窃取支付卡的数据,特别是针对零售商、餐馆和酒店行业的销售点。该组织至少从2016年以来就一直很活跃,但它的一个特点就是有攻击的休眠期。
根据Bitdefender威胁研究总监Bogdan Botezatu的说法,在这种情况下,FIN8最后一次对目标进行攻击是在2019年中期。
他告诉Threatpost:"他们已经休眠了18个月(他们在2017年和2019年进行了大量的攻击),虽然在此期间他们一直在小范围的目标上进行攻击测试"。
FIN8在小范围内进行试水
到目前为止,Bitdefender在对之前FIN8进行攻击时使用的基础设施的监测中发现了针对七个目标进行的攻击。
Botezatu告诉Threatpost:"虽然这可能听起来难以置信,但众所周知,FIN8在开展大范围的攻击之前,都会在小范围的区域内进行小规模的攻击测试,然后逐渐增大攻击量,这是一种保险机制,在正式开展攻击业务之前,可以在一个很小的范围内验证攻击的可行性。"
他补充说,在2020年还有其他很多已经被观察到的攻击测试。
这种试点攻击的方法通常是由于犯罪集团已经完善或增加了他们的内部武器库。事实上,在最新的一次攻击活动中发现了新版的BadHatch后门。
在2020年和今年的攻击活动中,已经发现有三个不同的攻击活动中都使用了改造后的BadHatch后门。
Botezatu说:"2020年中期是2.12版本到当前的2.14版本的过渡期(2.14版本是在2020年圣诞节期间进行部署的)"。
不断演变的BadHatch恶意软件
BadHatch是一款由FIN8定制的恶意软件,也曾在2019年的攻击中使用过。根据Bitdefender周三发布的分析报告显示,它现在已经得到了全面的提升,在持久性、加密、信息收集和执行横向移动的能力方面有了明显的改进。
例如,最新版本的后门(v. 2.14)中使用了sslip.io,它提供了免费的IP到域名映射的服务,使SSL证书的生成更加容易。而在传输中, BatchHatch也使用了加密的方式来隐藏PowerShell命令。Botezatu称,虽然该服务是合法的,而且被广泛的使用。但恶意软件却在滥用它,并且逃避了安全检测。