FIN8重出江湖！或預示新一輪全球POS系統攻擊浪潮

研究人員發現了一項針對酒店娛樂行業的新攻擊事件，採用惡意軟體ShellTea / PunchBuggy後門是自2017年以來首次被發現使用的，這也被認為是FIN8集團偃旗息鼓兩年多後在2019年的首秀。

FIN自2017年以來一直很安靜，上次有人報道FIN8黑客是在2016年和2017年，當時FireEye和root9B發布了一系列針對零售行業PoS系統的攻擊報告。

2017年6月FireEye使用了其「PUNCHTRACK POS-scraping「惡意軟體對FIN8的混淆技術進行了分析。FireEye寫道，

在2017年初，FIN8開始使用環境變數和PowerShell通過StdIn（標準輸入）接收命令的能力，以基於進程命令行參數來逃避檢測。

在2017年6月，Root9b也對ShellTea進行了分析，但沒有指明攻擊來源。有趣的是，該公司注意到編碼中存在錯誤：

現在有27個CRC32要在陣列中進行檢查，但將進程名稱CRC32與哈希列表進行比較的循環跑了108次。

在Root9b的分析中，ShellTea的目的是提供POS惡意軟體。 犯罪分子竊取令牌，然後使用這些憑據或創建偽造的Kerberos門票（」黃金門票「）進行橫向操縱，獲得對PoS網路上網路伺服器的訪問，為接下來的攻擊進行鋪墊，然後啟動包括wmic.exe 的shell命令，將PoS軟體（我們稱之為PoSlurp）推送到PoS機來啟動它。

來自Morphisec的研究人員檢測到的ShellTea的新迭代已經糾正了CRC32錯誤。在2019年3月至5月期間，研究人員報告說發現了「一種新的、高度複雜的ShellTea / PunchBuggy後門惡意軟體變種」，它試圖滲透屬於Morphisec客戶網路的許多機器，可能是藉助網路釣魚進行的攻擊嘗試。

Morphisec認為這次新攻擊的目的也類似於投放POS惡意軟體，但還不能完全證實這一點。Morphisec通過阻斷客戶端而發現此惡意軟體，因此其最終目的是什麼尚無從驗證。

一般都認為FIN8與FIN7是獨立開的，但有研究人員表示，有一些指標與已知的FIN7攻擊（URL和基礎設施）是重疊。FIN7因使用Carbanak惡意軟體而聞名，據報道，可能在2017年5月至2018年4月期間在北美地區破壞了Saks Fifth Avenue和Lord＆Taylor商店。

使用ShellTea的新攻擊手段從無文件投放程序開始，使用由註冊表項激活的PowerShell代碼引向ShellTea，然後注入Explorer。它會檢查自己是在沙箱還是虛擬環境中運行，還是正在受到監控。

C2通信通過HTTPS進行。 ShellTea響應它收到的命令，它可能會反射性地載入並執行交付的可執行文件，可能會創建一個文件並將其作為一個進程執行;它可以使用下載的本機Empire ReflectivePicker執行任何PowerShell命令;或者它還可以通過創建一個額外的線程來執行shellcode。此時可能就會下載POS惡意軟體。

PowerShell腳本還收集有關用戶和網路的信息，包括快照，計算機和用戶名，來自註冊表的電子郵件，任務計劃程序中的任務，系統信息，系統中註冊的AV，許可權，域和工作組信息。此數據被Gzip壓縮並保存在temp文件夾中的隨機文件下。這些數據一旦被C2採集到，就會馬上被刪除。

酒店業，特別是其POS網路，是攻擊者的重要目標。 FIN6、FIN7和FIN8組都是針對POS的多次攻擊而聞名的。由於許多此類網路運行在Windows 7的POS版本上，因此使得防禦變得更加困難。POS屬於零售和酒店行業運營技術的一部分，與製造業中的ICS系統存在相同的問題：處理能力有限，反病毒需求很大，有時還會跳過修補和更新，以免干擾系統可用性。

參考及來源：

·https://www.securityweek.com/new-version-shelltea-backdoor-used-fin8-hacking-group

·https://www.zdnet.com/article/fin8-hackers-return-after-two-years-with-attacks-against-hospitality-sector/

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！