Hakerzy FIN8 powracają z nową wersją BADHATCH

Wiele grup cyberprzestępczych po przeprowadzaniu fali ataków, chowa się w cień, zaprzestając na pewien czas swoich działań. Zazwyczaj dzieje się tak z dwóch powodów. Po pierwsze przestępcy nie chcą przyciągać uwagi mediów a także dostawców systemów bezpieczeństwa, zaś po drugie, przygotowują w spokoju nowe, jeszcze groźniejsze wersje złośliwego oprogramowania.  Klasycznym przykładem tego typu postępowania jest grupa FIN8, która dała się poznać z ataków wymierzonych w placówki handlowe, hotelarstwo i branżę rozrywkową. Gang przestępczy wykorzystuje szeroką gamę technik, takich jak spear phishing i złośliwe narzędzia: PUNCHTRACK i BADHATCH. Oba służą do kradzieży danych kart płatniczych z systemów POS (Point of Sale). Cyberprzestępczą działalność FIN8 wykryła w 2016 roku firma Fire Eye. Trzy lata później Gigamon odnotował pierwsze ataki przeprowadzone za pośrednictwem BADHATCH. Rozwojowi tego ostatniego narzędzia bacznie przyglądają się specjaliści z Bitdefendera, którzy w ostatnim czasie wytropili najnowszą wersję BADHATCH. Bitdefender w opublikowanym raporcie zwraca uwagę na fakt, iż złośliwe oprogramowanie BADHATCH to dojrzały, wysoce zaawansowany backdoor, który wykorzystuje kilka technik unikania i obrony. Nowy backdoor próbuje ominąć monitorowanie bezpieczeństwa, używając szyfrowania TLS w celu ukrycia poleceń Powershell.

BADHATCH został wdrożony jako implant zdolny do uruchamiania zadań dostarczonych przez napastnika, które są pobierane ze zdalnego serwera. Na tej liście znajdują się m.in załadowanie złośliwych bibliotek DLL, zbieranie informacji systemowych i eksfiltracja danych. Badacze Bitdefendera podkreślają, iż najnowsza wersja (2,14) tego backdoora nadużywa legalnej usługi o nazwie sslp.io, aby udaremnić wykrycie jego obecności podczas procesu przenikania do sieci ofiary. Malware pobiera skrypt PowerShell, który z kolei wykonuje kod powłoki zawierający bibliotekę DLL BADHATCH.

Co zrobić, aby zapobiec rozprzestrzenianiu się BADHATCH?

- Oddzielić sieć POS od tych, z których korzystają pracownicy lub goście.

- Dostosować rozwiązania zabezpieczające pocztę e-mail, aby automatycznie odrzucało złośliwe lub  

   podejrzane załączniki.

- Zintegrować informacje o zagrożeniach z istniejącym SIEM lub mechanizmami zabezpieczeń pod

   kątem odpowiednich wskaźników naruszenia bezpieczeństwa.

- Wprowadzić szkolenie uświadamiające w zakresie cyberbezpieczeństwa dla pracowników, aby  

   pomóc im wykrywać wiadomości phishingowe.

Źródło: marken.com.pl; bitdefender.pl