FIN8-Hacker kehren mit leistungsfähigerer Version von BADHATCH PoS-Malware zurück

Cyber Security News

Bedrohungsakteure, die dafür bekannt sind, sich unauffällig zu verhalten, stellen ihre Aktivitäten zwischendurch für längere Zeit ein, um keine Aufmerksamkeit zu erregen, und verfeinern ihre Tools ständig, um unter dem Radar vieler Erkennungstechnologien zu bleiben.

Eine solche Gruppe ist FIN8, ein finanziell motivierter Bedrohungsakteur, der nach anderthalb Jahren Pause wieder aktiv ist und eine leistungsstarke Version einer Backdoor mit erweiterten Funktionen wie Screen-Capturing, Proxy-Tunneling, Diebstahl von Anmeldeinformationen und dateiloser Ausführung entwickelt hat.

FIN8 wurde erstmals 2016 von FireEye dokumentiert und ist für seine Angriffe auf den Einzelhandel, das Gastgewerbe und die Unterhaltungsindustrie bekannt, wobei er eine Vielzahl von Techniken wie Spear-Phishing und bösartige Tools wie PUNCHTRACK und BADHATCH einsetzt, um Zahlungskartendaten von Kassensystemen zu stehlen.

“Die FIN8-Gruppe ist dafür bekannt, lange Pausen einzulegen, um ihre TTPs zu verbessern und ihre Erfolgsquote zu erhöhen”, so die Bitdefender-Forscher in einem heute veröffentlichten Bericht. “Die BADHATCH-Malware ist eine ausgereifte, hochentwickelte Backdoor, die mehrere Umgehungs- und Verteidigungstechniken verwendet. Die neue Backdoor versucht auch, die Sicherheitsüberwachung zu umgehen, indem sie TLS-Verschlüsselung verwendet, um Powershell-Befehle zu verbergen.”

[Blocked Image: https://thehackernews.com/images/-86EbX3iUD2c/YEiNnypo1BI/AAAAAAAAB_w/Kpu7nT6FNgkWiitEiYLypZvkYBsCWFiMwCLcBGAsYHQ/s728-e1000/malware-command.jpg]

BADHATCH wurde seit seiner Entdeckung im Jahr 2019 als Implantat eingesetzt, das in der Lage ist, vom Angreifer bereitgestellte Befehle auszuführen, die von einem Remote-Server abgerufen werden, und zusätzlich bösartige DLLs in einen laufenden Prozess zu injizieren, Systeminformationen zu sammeln und Daten an den Server zu exfiltrieren.

Die Forscher stellen fest, dass seit April 2020 mindestens drei verschiedene Varianten der Backdoor (v2.12 bis 2.14) entdeckt wurden. Die neueste Version von BADHATCH missbraucht einen legitimen Dienst namens sslp.io, um die Erkennung während des Bereitstellungsprozesses zu umgehen, und nutzt ihn, um ein PowerShell-Skript herunterzuladen, das wiederum den Shellcode mit der BADHATCH-DLL ausführt.

Das PowerShell-Skript übernimmt nicht nur die Verantwortung für das Erreichen der Persistenz, sondern kümmert sich auch um die Privilegienerweiterung, um sicherzustellen, dass alle Befehle nach der Ausführung des Skripts als SYSTEM-Benutzer ausgeführt werden.

Eine zweite von FIN8 angewandte Umgehungstechnik besteht darin, dass die Kommunikation mit dem Command-and-Control-Server (C2) als legitime HTTP-Anfrage getarnt wird.

Laut Bitdefender soll die neue Angriffswelle im vergangenen Jahr stattgefunden haben und sich gegen Versicherungen, den Einzelhandel, die Technologiebranche und die chemische Industrie in den USA, Kanada, Südafrika, Puerto Rico, Panama und Italien richten.

“Wie die meisten hartnäckigen und geschickten Akteure der Cyber-Kriminalität verfeinern die FIN8-Betreiber ständig ihre Tools und Taktiken, um nicht entdeckt zu werden”, schlussfolgern die Forscher und raten Unternehmen dringend, “das POS-Netzwerk von den Netzwerken zu trennen, die von Mitarbeitern oder Gästen genutzt werden” und E-Mails mit bösartigen oder verdächtigen Anhängen herauszufiltern.

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com