FIN8開始針對金融機構!利用新的惡意軟件部署后門竊取信息

ranwu 發布于2021-08-31 09:38 / 3350人閱讀

摘要：一個以獲取大筆資金為目標的網絡犯罪團伙利用一種名為的新惡意軟件攻破了美國一家金融機構的網絡。羅馬尼亞網絡安全技術公司將之前未記錄在案的惡意軟件稱為，在針對位于美國的一家未名金融機構發起的攻擊失敗后，在調查中遇到了這種惡意軟件。

.markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body%20h1,.markdown-body%20h2,.markdown-body%20h3,.markdown-body%20h4,.markdown-body%20h5,.markdown-body%20h6{line-height:1.5;margin-top:35px;margin-bottom:10px;padding-bottom:5px}.markdown-body%20h1{font-size:30px;margin-bottom:5px}.markdown-body%20h2{padding-bottom:12px;font-size:24px;border-bottom:1px%20solid%20#ececec}.markdown-body%20h3{font-size:18px;padding-bottom:0}.markdown-body%20h4{font-size:16px}.markdown-body%20h5{font-size:15px}.markdown-body%20h6{margin-top:5px}.markdown-body%20p{line-height:inherit;margin-top:22px;margin-bottom:22px}.markdown-body%20img{max-width:100%}.markdown-body%20hr{border:none;border-top:1px%20solid%20#ffffd;margin-top:32px;margin-bottom:32px}.markdown-body%20code{word-break:break-word;border-radius:2px;overflow-x:auto;background-color:#fff5f5;color:#ff502c;font-size:.87em;padding:.065em%20.4em}.markdown-body%20code,.markdown-body%20pre{font-family:Menlo,Monaco,Consolas,Courier%20New,monospace}.markdown-body%20pre{overflow:auto;position:relative;line-height:1.75}.markdown-body%20pre>code{font-size:12px;padding:15px%2012px;margin:0;word-break:normal;display:block;overflow-x:auto;color:#333;background:#f8f8f8}.markdown-body%20a{text-decoration:none;color:#0269c8;border-bottom:1px%20solid%20#d1e9ff}.markdown-body%20a:active,.markdown-body%20a:hover{color:#275b8c}.markdown-body%20table{display:inline-block!important;font-size:12px;width:auto;max-width:100%;overflow:auto;border:1px%20solid%20#f6f6f6}.markdown-body%20thead{background:#f6f6f6;color:#000;text-align:left}.markdown-body%20tr:nth-child(2n){background-color:#fcfcfc}.markdown-body%20td,.markdown-body%20th{padding:12px%207px;line-height:24px}.markdown-body%20td{min-width:120px}.markdown-body%20blockquote{color:#666;padding:1px%2023px;margin:22px%200;border-left:4px%20solid%20#cbcbcb;background-color:#f8f8f8}.markdown-body%20blockquote:after{display:block;content:""}.markdown-body%20blockquote>p{margin:10px%200}.markdown-body%20ol,.markdown-body%20ul{padding-left:28px}.markdown-body%20ol%20li,.markdown-body%20ul%20li{margin-bottom:0;list-style:inherit}.markdown-body%20ol%20li%20.task-list-item,.markdown-body%20ul%20li%20.task-list-item{list-style:none}.markdown-body%20ol%20li%20.task-list-item%20ol,.markdown-body%20ol%20li%20.task-list-item%20ul,.markdown-body%20ul%20li%20.task-list-item%20ol,.markdown-body%20ul%20li%20.task-list-item%20ul{margin-top:0}.markdown-body%20ol%20ol,.markdown-body%20ol%20ul,.markdown-body%20ul%20ol,.markdown-body%20ul%20ul{margin-top:3px}.markdown-body%20ol%20li{padding-left:6px}.markdown-body%20.contains-task-list{padding-left:0}.markdown-body%20.task-list-item{list-style:none}@media%20(max-width:720px){.markdown-body%20h1{font-size:24px}.markdown-body%20h2{font-size:20px}.markdown-body%20h3{font-size:18px}}

金融機構總是容易成為網絡攻擊者的目標，他們體積規模龐大網絡環境復雜，其中任何一個脆弱的環節都可能讓黑客大撈一筆。

一個以獲取大筆資金為目標的網絡犯罪團伙利用一種名為Sardonic的新惡意軟件攻破了美國一家金融機構的網絡。被觀察到在被感染的系統上部署了一個全新的后門，這表明運營商正在不斷地改造他們的惡意軟件庫，以避免被檢測到。

FIN8是此次事件背后的威脅行動者，至少從2016年1月開始活躍，以零售、餐飲、酒店、醫療和娛樂行業為目標，最終目標是從POS系統中竊取支付卡數據。

這個威脅行為者的惡意武器包括大量的工具和戰術，從POS惡意軟件(例如BadHatch,%20PoSlurp/PunchTrack,%20PowerSniff/PunchBuggy/ShellTea)到Windows零日漏洞和魚叉式釣魚。

羅馬尼亞網絡安全技術公司Bitdefender將之前未記錄在案的惡意軟件稱為“%20Sardonic%20”，在FIN8針對位于美國的一家未名金融機構發起的攻擊失敗后，在調查中遇到了這種惡意軟件。

安全人員在一份報告中說:“Sardonic后門功能非常強大，可以幫助威脅者在不更新組件的情況下利用新的惡意軟件。”

自2016年1月問世以來，FIN8利用了多種技術，如魚叉式釣魚和惡意軟件，如PUNCHTRACK和BADHATCH，從銷售點(POS)系統竊取銀行卡數據。

該威脅組織以在兩次活動之間延長休息時間以微調其戰術，并提高其行動的成功率而聞名，主要通過“living off the land”攻擊，使用內置工具和界面進行網絡入侵，例如PowerShell以及利用sslip.io等合法服務來掩飾他們的活動。

今年3月初，Bitdefender透露FIN8在中斷一年半之后回歸，其目標是美國、加拿大、南非、波多黎各、巴拿馬和意大利的保險、零售、技術和化學行業，并推出了改進版的BADHATCH 植入程序并具有升級的功能，包括屏幕捕獲、代理隧道、憑據盜竊和無文件執行。

在該公司分析的最新事件中，據稱滲透到目標網絡進行詳細的偵察，然后進行橫向移動和特權升級活動來部署惡意軟件負載。研究人員說:“為了繼續特權升級和橫向移動，曾多次嘗試在域控制器上部署Sardonic后門，但惡意的命令行被阻止了。”

Sardonic用 C++編寫，不僅采取措施在受感染的機器上建立持久性，而且還配備了允許它獲取系統信息、執行任意命令以及加載和執行附加插件的功能，其結果被傳輸到遠程攻擊者控制的服務器。

如果有什么不同的話，最新的發展是FIN8通過加強其能力和惡意軟件交付基礎設施的戰術發生轉變。在數字化、移動化、實時化的背景下，金融機構帳戶、渠道、數據及基礎設施等方面的關聯性不斷增強，業務連續性管理難度增大。不難發現，針對金融機構的網絡安全事件頻繁發生，數據泄露、盜取加密貨幣、勒索攻擊等等，為企業帶來嚴重影響。但有些機構的安全意識依舊薄弱，一味追求用戶體驗及效率。

為了降低與金融惡意軟件相關的風險，建議公司更加重視在技術方面安全建設，尤其軟件安全是網絡安全最基礎防線，確保軟件安全要在軟件開發過程中重視代碼缺陷等問題，利用靜態代碼檢測等自動化技術，加強代碼安全建設及漏洞檢測，通過提升軟件自身安全性為網絡安全筑牢根基，從而降低金融機構遭到網絡攻擊的風險。Wukong(悟空)靜態代碼檢測工具，從源碼開始，為您的軟件安全保駕護航!

參讀鏈接：

www.woocoom.com/b021.html?i…

thehackernews.com/2021/08/res…

云服務器 GPU云服務器 FIN8開始針對金融機構!利用新的惡意軟針對惡意攻擊流量也要考慮在入口層部署防ddos攻擊的流量清洗層. 惡意軟件惡意軟件網站

文章版權歸作者所有，未經允許請勿轉載,若此文章存在違規行為，您可以聯系管理員刪除。

轉載請注明本文地址：http://specialneedsforspecialkids.com/yun/118632.html

FIN7黑客使用Windows 11主題文件植入Javascript后門

摘要：是一家早在年中期就開始活躍的東歐集團，曾以美國的餐飲賭博和酒店行業未目標，竊取信用卡和借記卡號碼等金融信息，然后在地下市場上使用或出售這些信息牟利。盡管受到了高調的逮捕和判刑，該組織仍然一如既往地活躍。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-...

Atom 2021-09-08 09:45 評論0 收藏0
惡意軟件不斷創新!新版本Jupyter惡意軟件繞過檢測利用MSI安裝程序

摘要：惡意軟件于月日發現的新交付鏈，這強調該惡意軟件不僅繼續保持活躍，而且還展示了威脅行為者如何繼續發展其攻擊以提高效率和規避檢測。攻擊從部署超過的安裝有效載荷開始，允許他們繞過防毒軟件引擎檢測，并使用第三方應用程序打包向導稱為高級安裝程序。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-si...

Michael_Ding 2021-09-29 09:35 評論0 收藏0
Android后門GhostCtrl，完美控制設備任意權限并竊取用戶數據

摘要：用戶很難逃過一劫，即使用戶取消安裝提示，該提示仍然會立即彈出。該惡意沒有圖標，一旦安裝，惡意程序會立即在后臺運行。該惡意軟件的后門被命名為，目的是誤導用戶認為它是一個合法的系統應用。 Android系統似乎已經成為世界各地病毒作者的首選目標，每天都有新的惡意軟件在感染更多的設備。這一次，安全公司趨勢科技發布警告，他們發現了一個新的Android后門——GhostCtrl GhostC...

draveness 2019-06-21 16:37 評論0 收藏0