黑客組織FIN6改變了策略并針對電子商務網(wǎng)站

黑客被發(fā)現(xiàn)將惡意軟件注入受到破壞的電子商務網(wǎng)站，這些網(wǎng)站竊取了毫無戒心的受害者的支付卡數(shù)據(jù)。

根據(jù)IBM X-Force事件響應和情報服務(IRIS)的安全研究人員的博客文章，F(xiàn)IN6(又名ITG08)以歐洲和的銷售點(PoS)終端為目標而聞名，但最近已經(jīng)改變了策略。

這是一項新的活動，黑客被發(fā)現(xiàn)將惡意代碼注入受感染網(wǎng)站的在線結賬頁面 - 這種技術稱為在線瀏覽 - 從而竊取了由毫無戒心的客戶傳輸給供應商的支付卡數(shù)據(jù)。

研究人員表示，網(wǎng)絡團伙一直在積極攻擊跨國組織，針對特定員工使用魚叉式網(wǎng)絡釣魚電子郵件宣傳虛假招聘廣告，并反復部署More_eggs JScript后門惡意軟件(又名Terra Loader，SpicyOmelette)。

他們補充說，這個后門已經(jīng)被黑暗的網(wǎng)絡上的地下惡意軟件即服務(MaaS)提供商出售。

該團伙還使用了早期活動中的常用策略，例如Windows Management Instrumentation(WMI)，以自動執(zhí)行PowerShell腳本，使用base64編碼的PowerShell命令，以及Metasploit和PowerShell，以橫向移動和部署惡意軟件。

他們還在活動過程中多次使用Comodo代碼簽名證書。

為了進入組織的基礎設施，該團伙通過LinkedIn消息和電子郵件定位員工，宣傳假工作。

“在一個案例中，我們發(fā)現(xiàn)的證據(jù)表明，攻擊者通過電子郵件與受害者建立了聯(lián)系，并說服他們點擊谷歌驅動器URL，聲稱包含一個有吸引力的招聘廣告，”研究人員說。

“點擊后，URL顯示消息”在線預覽不可用“，然后顯示第二個URL，導致受感染或流氓域名，受害者可以在工作描述的幌子下下載有效載荷。”

反過來，該URL下載了一個包含惡意Windows腳本文件(WSF)的ZIP文件，該文件啟動了More_eggs后門的感染例程。

一旦進入，黑客就會使用WMI和PowerShell技術進行網(wǎng)絡偵察并在環(huán)境中橫向移動。

研究人員說：“攻擊者使用這種技術在精選系統(tǒng)上遠程安裝Metasploit反向TCP stager，隨后產(chǎn)生Meterpreter會話和Mimikatz。”

Mimikatz是一種后期利用工具，允許攻擊者竊取憑據(jù)。

研究人員表示，“竊取的證書通常用于促進特權升級以及通過妥協(xié)環(huán)境進一步橫向移動”。

然后，黑客在其他幾個設備上植入了后門，使黑客能夠找到更多進入受害者網(wǎng)絡的方法。

研究人員表示，該團伙已經(jīng)存在了四年：“它的攻擊是出于經(jīng)濟動機，復雜而持久。該集團歷來專門從POS機竊取支付卡數(shù)據(jù)，并且最近擴展了業(yè)務，以針對來自在線交易的無卡現(xiàn)有數(shù)據(jù)。“