FIN8 taucht mit überarbeiteter Backdoor-Malware wieder auf

Cyber Security News

Die Finanz-Cyberbande führt begrenzte Angriffe durch, bevor sie breitere Offensiven auf Point-of-Sale-Systeme startet.

Die FIN8-Cyberangriffsgruppe ist nach einer Periode relativer Ruhe wieder aufgetaucht, wie Forscher herausgefunden haben. Die Bande verwendet neue Versionen der BadHatch-Backdoor, um Unternehmen in den Branchen Chemie, Versicherungen, Einzelhandel und Technologie zu kompromittieren.

Die Angriffe haben Organisationen auf der ganzen Welt getroffen, hauptsächlich in Kanada, Italien, Panama, Puerto Rico, Südafrika und den Vereinigten Staaten, so eine Analyse von Bitdefender in dieser Woche.

FIN8 ist eine finanziell motivierte Bedrohungsgruppe, deren typische Angriffsmethode darin besteht, Zahlungskartendaten aus Point-of-Sale (PoS)-Umgebungen zu stehlen, insbesondere aus dem Einzelhandel, der Gastronomie und dem Hotelgewerbe. Die Gruppe ist seit mindestens 2016 aktiv, aber ihre Aktivität ist durch Ruhephasen gekennzeichnet.

In diesem Fall hat FIN8 zuletzt Mitte 2019 Ziele angegriffen, so Bogdan Botezatu, Director of Threat Research bei Bitdefender.

“Sie haben 18 Monate lang geschlafen (sie haben 2017 und 2019 große Sprünge gemacht), obwohl sie Tests auf kleinen Pools von Zielen durchgeführt haben”, sagte er Threatpost.

FIN8 testet Gewässer mit begrenzten Angriffen

Bislang hat Bitdefender bei der Überwachung der Infrastruktur der Kommandozentrale, die bei früheren FIN8-Angriffen verwendet wurde, spezifische Angriffe auf sieben Ziele identifiziert.

“Das mag sich klein anhören, aber FIN8 ist dafür bekannt, dass sie mit kleinen Tests an einer begrenzten Anzahl von Opfern wieder ins Geschäft kommen, bevor sie in die Breite gehen”, so Botezatu gegenüber Threatpost. “Dies ist ein Mechanismus, um die Sicherheit an einer kleinen Teilmenge zu validieren, bevor die Angriffe in die Produktion gehen.”

Er fügte hinzu, dass im Jahr 2020 weitere begrenzte Tests beobachtet worden seien.

Dieser Pilotprogramm-Ansatz stammt normalerweise von einer Gruppe, die ihr Waffenarsenal verfeinert oder erweitert. Und in der Tat, die jüngste Welle von Aktivitäten zeigt eine neue Version der BadHatch Hintertür.

Im Laufe des Jahres 2020 und dieses Jahres gab es drei verschiedene “Limited Release”-Kampagnen, bei denen überarbeitete Versionen von BadHatch verwendet wurden.

“Die Umstellung von den alten Versionen 2.12 auf die aktuelle Version 2.14 begann Mitte 2020 (die Version 2.14 wurde zu Weihnachten 2020 eingesetzt)”, so Botezatu.

Die sich weiterentwickelnde BadHatch-Malware

BadHatch ist eine angepasste FIN8-Malware, die auch bei den Angriffen im Jahr 2019 verwendet wurde. Laut einer am Mittwoch veröffentlichten Bitdefender-Analyse wurde sie nun aufgemöbelt, mit deutlichen Verbesserungen in Bezug auf Persistenz, Verschlüsselung, Informationssammlung und der Fähigkeit, laterale Bewegungen durchzuführen.

Die neueste Backdoor-Version (v. 2.14) missbraucht zum Beispiel sslip.io – einen Dienst, der kostenloses IP-zu-Domain-Mapping anbietet, um die Generierung von SSL-Zertifikaten zu erleichtern. BatchHatch nutzt die Verschlüsselung, um PowerShell-Befehle während der Übertragung zu verbergen. Obwohl der Dienst legitim und weit verbreitet ist, missbraucht die Malware ihn laut Botezatu, um der Erkennung zu entgehen.

“Dies hindert Sicherheits- und einige Überwachungslösungen daran, PowerShell-Skripte während der Übertragung vom Command-and-Control-Server (C2) zu identifizieren und zu blockieren”, erklärte er gegenüber Threatpost. “Dies ist besonders wichtig, um Stealth und in größerem Maße Persistenz zu erreichen.”

Die Malware hat auch ihre Snooping-Fähigkeiten erweitert und ist nun in der Lage, mehr über das Netzwerk des Opfers zu erfahren, indem sie z. B. Screenshots abgreift – dies ermöglicht schließlich bessere laterale Bewegungen innerhalb der Umgebung eines Unternehmens.

“Der Teil der lateralen Bewegung ist kritisch, da er auf POS-Netzwerke abzielt”, erklärt Botezatu. “Das liegt daran, dass die Malware in der Regel über bösartige Anhänge ausgeliefert wird. Das Zielopfer kann jeder im Netzwerk sein und die Malware muss von einem Endpunkt zum anderen springen, bis sie die eigentlichen Ziele im Netzwerk erreicht – POS-Geräte.”

Die neueste BadHatch-Version erlaubt auch das Herunterladen von Dateien, was in Zukunft den Weg für verschiedene Arten von Angriffen ebnen könnte, die über das Abgreifen von Kreditkartendaten hinausgehen.

“BadHatch wurde schon immer mit POS-Angriffen in Verbindung gebracht, aber es verfügt über erweiterte Backdoor-Fähigkeiten, die es den Anwendern ermöglichen, sich seitlich zu bewegen, und hat auch die Möglichkeit, zusätzliche Payloads von bestimmten Orten herunterzuladen”, sagte Botezatu. “Diese Payloads können verschiedene Rollen spielen, abhängig von der Agenda der Angreifer.”

Wie die meisten hartnäckigen und geschickten Cybercrime-Akteure verfeinern auch die FIN8-Betreiber ständig ihre Tools und Taktiken – aber sie verfallen in vorhersehbare Rhythmen. Die jüngste Aktivität ist ein Hinweis darauf, dass bald weitere Angriffe zu erwarten sind, so der Forscher.

“FIN8 sind die Apex-Raubtiere des Finanzbetrugs-Ökosystems”, sagte Botezatu. “Sie nehmen sich lange Zeit, um ihre Tools zu perfektionieren und investieren erhebliche Ressourcen in die Umgehung traditioneller Sicherheitssituationen. Sie sind extrem fokussiert auf ‘von der Hand in den Mund lebende’ Angriffe und beginnen erst dann, Opfer ins Visier zu nehmen, wenn sie ihre Tools kampferprobt haben.”

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Veranstaltungen an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 24. März: Wirtschaftliche Aspekte von 0-Day Disclosures: The Good, Bad and Ugly (Erfahren Sie mehr und registrieren Sie sich!) 21. April: Underground Markets: Eine Tour durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com