Известные своей скрытностью хакерские группы обычно стараются демонстрировать активность с большими перерывами и постоянно совершенствуют свой инструментарий, чтобы оставаться вне поля зрения многих технологий детектирования.
Одной из таких групп является «FIN8» - группа хакеров, которая возвращается в игру после полуторалетнего перерыва с мощной версией бэкдора с обновленными возможностями, включающими захват экрана, прокси-туннелирование, кражу учетных записей и «бесфайловое» выполнение.
Впервые замеченная в 2016 году исследователями компании FireEye, «FIN8» известна своими атаками на предприятия розничной торговли, гостиничного бизнеса и индустрии развлечений с использованием широкого спектра методов, таких как таргетированный фишинг и вредоносное ПО, такое как «PUNCHTRACK» и «BADHATCH», которые используются для кражи данных платежных карт из кассовых терминалов.
«Группа FIN8 известна тем, что она делает длительные перерывы в работе для улучшения своих техник и тактик и, соответственно, числа успешных атак» - говорится в отчете исследователей Bitdefender. «Вредоносная программа BADHATCH - это зрелый, высокотехнологичный бэкдор, использующий несколько методов уклонения и защиты. Новый бэкдор также пытается обойти мониторинг безопасности, используя TLS шифрование для сокрытия команд Powershell».
BADHATCH с момента его обнаружения в 2019 году использовался в качестве инструмента, способного выполнять поступающие с удаленного сервера команды злоумышленников, а также внедрять вредоносные библиотеки DLL в процессы на машине-жертве, собирать системную информацию и извлекать данные.
Отметив, что как минимум три различных варианта бэкдора (v2.12 - 2.14) были замечены с апреля 2020 года, исследователи заявили, что последняя версия BADHATCH злоупотребляет легитимным сервисом под названием sslp.io, чтобы помешать обнаружению в процессе установки и использует его для загрузки скрипта PowerShell, который, в свою очередь, выполняет шеллкод, содержащий BADHATCH DLL.
Сценарий PowerShell не только отвечает за захват устойчивого плацдарма в сети жертвы, но и заботится о повышении привилегий - все команды после выполнения сценария выполняются от имени пользователя SYSTEM.
Более того, вторая техника уклонения «FIN8» включает в себя передачу соединений с командно-контрольным сервером, которые маскируются под легальные HTTP-запросы.
По словам Bitdefender, новая волна атак происходила весь последний год и направлена против страховой отрасли, розничной торговли, технологических компаний и химической промышленности в США, Канаде, Южной Африке, Пуэрто-Рико, Панаме и Италии.
«Как и большинство настойчивых и опытных киберпреступников, операторы «FIN8» постоянно совершенствуют свои инструменты и тактику, чтобы избежать обнаружения», - заключили исследователи, призывая предприятия «отделять сети кассовых терминалов от тех, которые используются сотрудниками или гостями» и отфильтровывать электронные письма, содержащие вредоносные или подозрительные вложения.
Перевод сделан со статьи: https://thehackernews.com
