FIN8开始针对金融机构!利用新的恶意软件部署后门窃取信息

ranwu 发布于2021-08-31 09:38 / 3225人阅读

摘要：一个以获取大笔资金为目标的网络犯罪团伙利用一种名为的新恶意软件攻破了美国一家金融机构的网络。罗马尼亚网络安全技术公司将之前未记录在案的恶意软件称为，在针对位于美国的一家未名金融机构发起的攻击失败后，在调查中遇到了这种恶意软件。

.markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body%20h1,.markdown-body%20h2,.markdown-body%20h3,.markdown-body%20h4,.markdown-body%20h5,.markdown-body%20h6{line-height:1.5;margin-top:35px;margin-bottom:10px;padding-bottom:5px}.markdown-body%20h1{font-size:30px;margin-bottom:5px}.markdown-body%20h2{padding-bottom:12px;font-size:24px;border-bottom:1px%20solid%20#ececec}.markdown-body%20h3{font-size:18px;padding-bottom:0}.markdown-body%20h4{font-size:16px}.markdown-body%20h5{font-size:15px}.markdown-body%20h6{margin-top:5px}.markdown-body%20p{line-height:inherit;margin-top:22px;margin-bottom:22px}.markdown-body%20img{max-width:100%}.markdown-body%20hr{border:none;border-top:1px%20solid%20#ffffd;margin-top:32px;margin-bottom:32px}.markdown-body%20code{word-break:break-word;border-radius:2px;overflow-x:auto;background-color:#fff5f5;color:#ff502c;font-size:.87em;padding:.065em%20.4em}.markdown-body%20code,.markdown-body%20pre{font-family:Menlo,Monaco,Consolas,Courier%20New,monospace}.markdown-body%20pre{overflow:auto;position:relative;line-height:1.75}.markdown-body%20pre>code{font-size:12px;padding:15px%2012px;margin:0;word-break:normal;display:block;overflow-x:auto;color:#333;background:#f8f8f8}.markdown-body%20a{text-decoration:none;color:#0269c8;border-bottom:1px%20solid%20#d1e9ff}.markdown-body%20a:active,.markdown-body%20a:hover{color:#275b8c}.markdown-body%20table{display:inline-block!important;font-size:12px;width:auto;max-width:100%;overflow:auto;border:1px%20solid%20#f6f6f6}.markdown-body%20thead{background:#f6f6f6;color:#000;text-align:left}.markdown-body%20tr:nth-child(2n){background-color:#fcfcfc}.markdown-body%20td,.markdown-body%20th{padding:12px%207px;line-height:24px}.markdown-body%20td{min-width:120px}.markdown-body%20blockquote{color:#666;padding:1px%2023px;margin:22px%200;border-left:4px%20solid%20#cbcbcb;background-color:#f8f8f8}.markdown-body%20blockquote:after{display:block;content:""}.markdown-body%20blockquote>p{margin:10px%200}.markdown-body%20ol,.markdown-body%20ul{padding-left:28px}.markdown-body%20ol%20li,.markdown-body%20ul%20li{margin-bottom:0;list-style:inherit}.markdown-body%20ol%20li%20.task-list-item,.markdown-body%20ul%20li%20.task-list-item{list-style:none}.markdown-body%20ol%20li%20.task-list-item%20ol,.markdown-body%20ol%20li%20.task-list-item%20ul,.markdown-body%20ul%20li%20.task-list-item%20ol,.markdown-body%20ul%20li%20.task-list-item%20ul{margin-top:0}.markdown-body%20ol%20ol,.markdown-body%20ol%20ul,.markdown-body%20ul%20ol,.markdown-body%20ul%20ul{margin-top:3px}.markdown-body%20ol%20li{padding-left:6px}.markdown-body%20.contains-task-list{padding-left:0}.markdown-body%20.task-list-item{list-style:none}@media%20(max-width:720px){.markdown-body%20h1{font-size:24px}.markdown-body%20h2{font-size:20px}.markdown-body%20h3{font-size:18px}}

金融机构总是容易成为网络攻击者的目标，他们体积规模庞大网络环境复杂，其中任何一个脆弱的环节都可能让黑客大捞一笔。

一个以获取大笔资金为目标的网络犯罪团伙利用一种名为Sardonic的新恶意软件攻破了美国一家金融机构的网络。被观察到在被感染的系统上部署了一个全新的后门，这表明运营商正在不断地改造他们的恶意软件库，以避免被检测到。

FIN8是此次事件背后的威胁行动者，至少从2016年1月开始活跃，以零售、餐饮、酒店、医疗和娱乐行业为目标，最终目标是从POS系统中窃取支付卡数据。

这个威胁行为者的恶意武器包括大量的工具和战术，从POS恶意软件(例如BadHatch,%20PoSlurp/PunchTrack,%20PowerSniff/PunchBuggy/ShellTea)到Windows零日漏洞和鱼叉式钓鱼。

罗马尼亚网络安全技术公司Bitdefender将之前未记录在案的恶意软件称为“%20Sardonic%20”，在FIN8针对位于美国的一家未名金融机构发起的攻击失败后，在调查中遇到了这种恶意软件。

安全人员在一份报告中说:“Sardonic后门功能非常强大，可以帮助威胁者在不更新组件的情况下利用新的恶意软件。”

自2016年1月问世以来，FIN8利用了多种技术，如鱼叉式钓鱼和恶意软件，如PUNCHTRACK和BADHATCH，从销售点(POS)系统窃取银行卡数据。

该威胁组织以在两次活动之间延长休息时间以微调其战术，并提高其行动的成功率而闻名，主要通过“living off the land”攻击，使用内置工具和界面进行网络入侵，例如PowerShell以及利用sslip.io等合法服务来掩饰他们的活动。

今年3月初，Bitdefender透露FIN8在中断一年半之后回归，其目标是美国、加拿大、南非、波多黎各、巴拿马和意大利的保险、零售、技术和化学行业，并推出了改进版的BADHATCH 植入程序并具有升级的功能，包括屏幕捕获、代理隧道、凭据盗窃和无文件执行。

在该公司分析的最新事件中，据称渗透到目标网络进行详细的侦察，然后进行横向移动和特权升级活动来部署恶意软件负载。研究人员说:“为了继续特权升级和横向移动，曾多次尝试在域控制器上部署Sardonic后门，但恶意的命令行被阻止了。”

Sardonic用 C++编写，不仅采取措施在受感染的机器上建立持久性，而且还配备了允许它获取系统信息、执行任意命令以及加载和执行附加插件的功能，其结果被传输到远程攻击者控制的服务器。

如果有什么不同的话，最新的发展是FIN8通过加强其能力和恶意软件交付基础设施的战术发生转变。在数字化、移动化、实时化的背景下，金融机构帐户、渠道、数据及基础设施等方面的关联性不断增强，业务连续性管理难度增大。不难发现，针对金融机构的网络安全事件频繁发生，数据泄露、盗取加密货币、勒索攻击等等，为企业带来严重影响。但有些机构的安全意识依旧薄弱，一味追求用户体验及效率。

为了降低与金融恶意软件相关的风险，建议公司更加重视在技术方面安全建设，尤其软件安全是网络安全最基础防线，确保软件安全要在软件开发过程中重视代码缺陷等问题，利用静态代码检测等自动化技术，加强代码安全建设及漏洞检测，通过提升软件自身安全性为网络安全筑牢根基，从而降低金融机构遭到网络攻击的风险。Wukong(悟空)静态代码检测工具，从源码开始，为您的软件安全保驾护航!

参读链接：

www.woocoom.com/b021.html?i…

thehackernews.com/2021/08/res…

超融合服务器服务器托管 FIN8开始针对金融机构!利用新的恶意软针对恶意攻击流量也要考虑在入口层部署防ddos攻击的流量清洗层. 恶意软件恶意软件网站

文章版权归作者所有，未经允许请勿转载,若此文章存在违规行为，您可以联系管理员删除。

转载请注明本文地址：https://www.ucloud.cn/yun/118632.html

【网络安全】基于网络攻击链的安全防护思考

摘要：庞大的数据说明了恶意代码的网络传播行为尤为猖獗，全网计算机用户的网络安全防护意识仍待提高。查看网络安全学习资料安装木马攻击者在获取到目标系统的控制权限后，将在目标系统中安装木马，植入后门，后门程序通常具有极强的隐蔽性，很难被正常用户发现。 ...

jsummer 2021-11-12 10:34 评论0 收藏0
FIN7黑客使用Windows 11主题文件植入Javascript后门

摘要：是一家早在年中期就开始活跃的东欧集团，曾以美国的餐饮赌博和酒店行业未目标，窃取信用卡和借记卡号码等金融信息，然后在地下市场上使用或出售这些信息牟利。尽管受到了高调的逮捕和判刑，该组织仍然一如既往地活跃。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-...

Atom 2021-09-08 09:45 评论0 收藏0
恶意软件不断创新!新版本Jupyter恶意软件绕过检测利用MSI安装程序

摘要：恶意软件于月日发现的新交付链，这强调该恶意软件不仅继续保持活跃，而且还展示了威胁行为者如何继续发展其攻击以提高效率和规避检测。攻击从部署超过的安装有效载荷开始，允许他们绕过防毒软件引擎检测，并使用第三方应用程序打包向导称为高级安装程序。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-si...

Michael_Ding 2021-09-29 09:35 评论0 收藏0
Android后门GhostCtrl，完美控制设备任意权限并窃取用户数据

摘要：用户很难逃过一劫，即使用户取消安装提示，该提示仍然会立即弹出。该恶意没有图标，一旦安装，恶意程序会立即在后台运行。该恶意软件的后门被命名为，目的是误导用户认为它是一个合法的系统应用。 Android系统似乎已经成为世界各地病毒作者的首选目标，每天都有新的恶意软件在感染更多的设备。这一次，安全公司趋势科技发布警告，他们发现了一个新的Android后门——GhostCtrl GhostC...

TANKING 2019-06-25 11:28 评论0 收藏0
Android后门GhostCtrl，完美控制设备任意权限并窃取用户数据

摘要：用户很难逃过一劫，即使用户取消安装提示，该提示仍然会立即弹出。该恶意没有图标，一旦安装，恶意程序会立即在后台运行。该恶意软件的后门被命名为，目的是误导用户认为它是一个合法的系统应用。 Android系统似乎已经成为世界各地病毒作者的首选目标，每天都有新的恶意软件在感染更多的设备。这一次，安全公司趋势科技发布警告，他们发现了一个新的Android后门——GhostCtrl GhostC...

draveness 2019-06-21 16:37 评论0 收藏0