黑客组织FIN6改变了策略并针对电子商务网站

互联网2020-10-19 23:41:58
导读 黑客被发现将恶意软件注入受到破坏的电子商务网站,这些网站窃取了毫无戒心的受害者的支付卡数据。根据IBM X-Force事件响应和情报服务(

黑客被发现将恶意软件注入受到破坏的电子商务网站,这些网站窃取了毫无戒心的受害者的支付卡数据。

根据IBM X-Force事件响应和情报服务(IRIS)的安全研究人员的博客文章,FIN6(又名ITG08)以欧洲和美国的销售点(PoS)终端为目标而闻名,但最近已经改变了策略。

这是一项新的活动,黑客被发现将恶意代码注入受感染网站的在线结账页面 - 这种技术称为在线浏览 - 从而窃取了由毫无戒心的客户传输给供应商的支付卡数据。

研究人员表示,网络犯罪团伙一直在积极攻击跨国组织,针对特定员工使用鱼叉式网络钓鱼电子邮件宣传虚假招聘广告,并反复部署More_eggs JScript后门恶意软件(又名Terra Loader,SpicyOmelette)。

他们补充说,这个后门已经被黑暗的网络上的地下恶意软件即服务(MaaS)提供商出售。

该团伙还使用了早期活动中的常用策略,例如Windows Management Instrumentation(WMI),以自动执行PowerShell脚本,使用base64编码的PowerShell命令,以及Metasploit和PowerShell,以横向移动和部署恶意软件。

他们还在活动过程中多次使用Comodo代码签名证书。

为了进入组织的基础设施,该团伙通过LinkedIn消息和电子邮件定位员工,宣传假工作。

“在一个案例中,我们发现的证据表明,攻击者通过电子邮件与受害者建立了联系,并说服他们点击谷歌驱动器URL,声称包含一个有吸引力的招聘广告,”研究人员说。

“点击后,URL显示消息”在线预览不可用“,然后显示第二个URL,导致受感染或流氓域名,受害者可以在工作描述的幌子下下载有效载荷。”

反过来,该URL下载了一个包含恶意Windows脚本文件(WSF)的ZIP文件,该文件启动了More_eggs后门的感染例程。

一旦进入,黑客就会使用WMI和PowerShell技术进行网络侦察并在环境中横向移动。

研究人员说:“攻击者使用这种技术在精选系统上远程安装Metasploit反向TCP stager,随后产生Meterpreter会话和Mimikatz。”

Mimikatz是一种后期利用工具,允许攻击者窃取凭据。

研究人员表示,“窃取的证书通常用于促进特权升级以及通过妥协环境进一步横向移动”。

然后,黑客在其他几个设备上植入了后门,使黑客能够找到更多进入受害者网络的方法。

研究人员表示,该团伙已经存在了四年:“它的攻击是出于经济动机,复杂而持久。该集团历来专门从POS机窃取支付卡数据,并且最近扩展了业务,以针对来自在线交易的无卡现有数据。“

免责声明:本文由用户上传,如有侵权请联系删除!