黑客組織FIN6改變了策略并針對(duì)電子商務(wù)網(wǎng)站

黑客被發(fā)現(xiàn)將惡意軟件注入受到破壞的電子商務(wù)網(wǎng)站，這些網(wǎng)站竊取了毫無戒心的受害者的支付卡數(shù)據(jù)。

根據(jù)IBM X-Force事件響應(yīng)和情報(bào)服務(wù)(IRIS)的安全研究人員的博客文章，F(xiàn)IN6(又名ITG08)以歐洲和的銷售點(diǎn)(PoS)終端為目標(biāo)而聞名，但最近已經(jīng)改變了策略。

這是一項(xiàng)新的活動(dòng)，黑客被發(fā)現(xiàn)將惡意代碼注入受感染網(wǎng)站的在線結(jié)賬頁(yè)面 - 這種技術(shù)稱為在線瀏覽 - 從而竊取了由毫無戒心的客戶傳輸給供應(yīng)商的支付卡數(shù)據(jù)。

研究人員表示，網(wǎng)絡(luò)團(tuán)伙一直在積極攻擊跨國(guó)組織，針對(duì)特定員工使用魚叉式網(wǎng)絡(luò)釣魚電子郵件宣傳虛假招聘廣告，并反復(fù)部署More_eggs JScript后門惡意軟件(又名Terra Loader，SpicyOmelette)。

他們補(bǔ)充說，這個(gè)后門已經(jīng)被黑暗的網(wǎng)絡(luò)上的地下惡意軟件即服務(wù)(MaaS)提供商出售。

該團(tuán)伙還使用了早期活動(dòng)中的常用策略，例如Windows Management Instrumentation(WMI)，以自動(dòng)執(zhí)行PowerShell腳本，使用base64編碼的PowerShell命令，以及Metasploit和PowerShell，以橫向移動(dòng)和部署惡意軟件。

他們還在活動(dòng)過程中多次使用Comodo代碼簽名證書。

為了進(jìn)入組織的基礎(chǔ)設(shè)施，該團(tuán)伙通過LinkedIn消息和電子郵件定位員工，宣傳假工作。

“在一個(gè)案例中，我們發(fā)現(xiàn)的證據(jù)表明，攻擊者通過電子郵件與受害者建立了聯(lián)系，并說服他們點(diǎn)擊谷歌驅(qū)動(dòng)器URL，聲稱包含一個(gè)有吸引力的招聘廣告，”研究人員說。

“點(diǎn)擊后，URL顯示消息”在線預(yù)覽不可用“，然后顯示第二個(gè)URL，導(dǎo)致受感染或流氓域名，受害者可以在工作描述的幌子下下載有效載荷。”

反過來，該URL下載了一個(gè)包含惡意Windows腳本文件(WSF)的ZIP文件，該文件啟動(dòng)了More_eggs后門的感染例程。

一旦進(jìn)入，黑客就會(huì)使用WMI和PowerShell技術(shù)進(jìn)行網(wǎng)絡(luò)偵察并在環(huán)境中橫向移動(dòng)。

研究人員說：“攻擊者使用這種技術(shù)在精選系統(tǒng)上遠(yuǎn)程安裝Metasploit反向TCP stager，隨后產(chǎn)生Meterpreter會(huì)話和Mimikatz。”

Mimikatz是一種后期利用工具，允許攻擊者竊取憑據(jù)。

研究人員表示，“竊取的證書通常用于促進(jìn)特權(quán)升級(jí)以及通過妥協(xié)環(huán)境進(jìn)一步橫向移動(dòng)”。

然后，黑客在其他幾個(gè)設(shè)備上植入了后門，使黑客能夠找到更多進(jìn)入受害者網(wǎng)絡(luò)的方法。

研究人員表示，該團(tuán)伙已經(jīng)存在了四年：“它的攻擊是出于經(jīng)濟(jì)動(dòng)機(jī)，復(fù)雜而持久。該集團(tuán)歷來專門從POS機(jī)竊取支付卡數(shù)據(jù)，并且最近擴(kuò)展了業(yè)務(wù)，以針對(duì)來自在線交易的無卡現(xiàn)有數(shù)據(jù)。“