.markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body%20h1,.markdown-body%20h2,.markdown-body%20h3,.markdown-body%20h4,.markdown-body%20h5,.markdown-body%20h6{line-height:1.5;margin-top:35px;margin-bottom:10px;padding-bottom:5px}.markdown-body%20h1{font-size:30px;margin-bottom:5px}.markdown-body%20h2{padding-bottom:12px;font-size:24px;border-bottom:1px%20solid%20#ececec}.markdown-body%20h3{font-size:18px;padding-bottom:0}.markdown-body%20h4{font-size:16px}.markdown-body%20h5{font-size:15px}.markdown-body%20h6{margin-top:5px}.markdown-body%20p{line-height:inherit;margin-top:22px;margin-bottom:22px}.markdown-body%20img{max-width:100%}.markdown-body%20hr{border:none;border-top:1px%20solid%20#ffffd;margin-top:32px;margin-bottom:32px}.markdown-body%20code{word-break:break-word;border-radius:2px;overflow-x:auto;background-color:#fff5f5;color:#ff502c;font-size:.87em;padding:.065em%20.4em}.markdown-body%20code,.markdown-body%20pre{font-family:Menlo,Monaco,Consolas,Courier%20New,monospace}.markdown-body%20pre{overflow:auto;position:relative;line-height:1.75}.markdown-body%20pre>code{font-size:12px;padding:15px%2012px;margin:0;word-break:normal;display:block;overflow-x:auto;color:#333;background:#f8f8f8}.markdown-body%20a{text-decoration:none;color:#0269c8;border-bottom:1px%20solid%20#d1e9ff}.markdown-body%20a:active,.markdown-body%20a:hover{color:#275b8c}.markdown-body%20table{display:inline-block!important;font-size:12px;width:auto;max-width:100%;overflow:auto;border:1px%20solid%20#f6f6f6}.markdown-body%20thead{background:#f6f6f6;color:#000;text-align:left}.markdown-body%20tr:nth-child(2n){background-color:#fcfcfc}.markdown-body%20td,.markdown-body%20th{padding:12px%207px;line-height:24px}.markdown-body%20td{min-width:120px}.markdown-body%20blockquote{color:#666;padding:1px%2023px;margin:22px%200;border-left:4px%20solid%20#cbcbcb;background-color:#f8f8f8}.markdown-body%20blockquote:after{display:block;content:""}.markdown-body%20blockquote>p{margin:10px%200}.markdown-body%20ol,.markdown-body%20ul{padding-left:28px}.markdown-body%20ol%20li,.markdown-body%20ul%20li{margin-bottom:0;list-style:inherit}.markdown-body%20ol%20li%20.task-list-item,.markdown-body%20ul%20li%20.task-list-item{list-style:none}.markdown-body%20ol%20li%20.task-list-item%20ol,.markdown-body%20ol%20li%20.task-list-item%20ul,.markdown-body%20ul%20li%20.task-list-item%20ol,.markdown-body%20ul%20li%20.task-list-item%20ul{margin-top:0}.markdown-body%20ol%20ol,.markdown-body%20ol%20ul,.markdown-body%20ul%20ol,.markdown-body%20ul%20ul{margin-top:3px}.markdown-body%20ol%20li{padding-left:6px}.markdown-body%20.contains-task-list{padding-left:0}.markdown-body%20.task-list-item{list-style:none}@media%20(max-width:720px){.markdown-body%20h1{font-size:24px}.markdown-body%20h2{font-size:20px}.markdown-body%20h3{font-size:18px}}
金融機(jī)構(gòu)總是容易成為網(wǎng)絡(luò)攻擊者的目標(biāo)�,他們體積規(guī)模龐大網(wǎng)絡(luò)環(huán)境復(fù)雜,其中任何一個(gè)脆弱的環(huán)節(jié)都可能讓黑客大撈一筆��。
一個(gè)以獲取大筆資金為目標(biāo)的網(wǎng)絡(luò)犯罪團(tuán)伙利用一種名為Sardonic的新惡意軟件攻破了美國(guó)一家金融機(jī)構(gòu)的網(wǎng)絡(luò)���。被觀察到在被感染的系統(tǒng)上部署了一個(gè)全新的后門����,這表明運(yùn)營(yíng)商正在不斷地改造他們的惡意軟件庫(kù)�����,以避免被檢測(cè)到�。
FIN8是此次事件背后的威脅行動(dòng)者,至少?gòu)?016年1月開(kāi)始活躍���,以零售��、餐飲���、酒店、醫(yī)療和娛樂(lè)行業(yè)為目標(biāo)���,最終目標(biāo)是從POS系統(tǒng)中竊取支付卡數(shù)據(jù)����。
這個(gè)威脅行為者的惡意武器包括大量的工具和戰(zhàn)術(shù)��,從POS惡意軟件(例如BadHatch,%20PoSlurp/PunchTrack,%20PowerSniff/PunchBuggy/ShellTea)到Windows零日漏洞和魚(yú)叉式釣魚(yú)��。
羅馬尼亞網(wǎng)絡(luò)安全技術(shù)公司Bitdefender將之前未記錄在案的惡意軟件稱為“%20Sardonic%20”��,在FIN8針對(duì)位于美國(guó)的一家未名金融機(jī)構(gòu)發(fā)起的攻擊失敗后���,在調(diào)查中遇到了這種惡意軟件�。
安全人員在一份報(bào)告中說(shuō):“Sardonic后門功能非常強(qiáng)大���,可以幫助威脅者在不更新組件的情況下利用新的惡意軟件��?�!?/p>
自2016年1月問(wèn)世以來(lái)�,F(xiàn)IN8利用了多種技術(shù)��,如魚(yú)叉式釣魚(yú)和惡意軟件���,如PUNCHTRACK和BADHATCH���,從銷售點(diǎn)(POS)系統(tǒng)竊取銀行卡數(shù)據(jù)��。
該威脅組織以在兩次活動(dòng)之間延長(zhǎng)休息時(shí)間以微調(diào)其戰(zhàn)術(shù)�,并提高其行動(dòng)的成功率而聞名�,主要通過(guò)“l(fā)iving off the land”攻擊,使用內(nèi)置工具和界面進(jìn)行網(wǎng)絡(luò)入侵�����,例如PowerShell以及利用sslip.io等合法服務(wù)來(lái)掩飾他們的活動(dòng)����。
今年3月初,Bitdefender透露FIN8在中斷一年半之后回歸�,其目標(biāo)是美國(guó)、加拿大�����、南非�����、波多黎各、巴拿馬和意大利的保險(xiǎn)�����、零售���、技術(shù)和化學(xué)行業(yè),并推出了改進(jìn)版的BADHATCH 植入程序并具有升級(jí)的功能��,包括屏幕捕獲�、代理隧道��、憑據(jù)盜竊和無(wú)文件執(zhí)行�。
在該公司分析的最新事件中,據(jù)稱滲透到目標(biāo)網(wǎng)絡(luò)進(jìn)行詳細(xì)的偵察�,然后進(jìn)行橫向移動(dòng)和特權(quán)升級(jí)活動(dòng)來(lái)部署惡意軟件負(fù)載。研究人員說(shuō):“為了繼續(xù)特權(quán)升級(jí)和橫向移動(dòng)�����,曾多次嘗試在域控制器上部署Sardonic后門���,但惡意的命令行被阻止了�。”
Sardonic用 C++編寫(xiě)����,不僅采取措施在受感染的機(jī)器上建立持久性,而且還配備了允許它獲取系統(tǒng)信息�����、執(zhí)行任意命令以及加載和執(zhí)行附加插件的功能��,其結(jié)果被傳輸?shù)竭h(yuǎn)程攻擊者控制的服務(wù)器�����。
如果有什么不同的話��,最新的發(fā)展是FIN8通過(guò)加強(qiáng)其能力和惡意軟件交付基礎(chǔ)設(shè)施的戰(zhàn)術(shù)發(fā)生轉(zhuǎn)變����。在數(shù)字化、移動(dòng)化�、實(shí)時(shí)化的背景下,金融機(jī)構(gòu)帳戶����、渠道���、數(shù)據(jù)及基礎(chǔ)設(shè)施等方面的關(guān)聯(lián)性不斷增強(qiáng),業(yè)務(wù)連續(xù)性管理難度增大�����。不難發(fā)現(xiàn)����,針對(duì)金融機(jī)構(gòu)的網(wǎng)絡(luò)安全事件頻繁發(fā)生,數(shù)據(jù)泄露�、盜取加密貨幣、勒索攻擊等等���,為企業(yè)帶來(lái)嚴(yán)重影響。但有些機(jī)構(gòu)的安全意識(shí)依舊薄弱����,一味追求用戶體驗(yàn)及效率。
為了降低與金融惡意軟件相關(guān)的風(fēng)險(xiǎn)����,建議公司更加重視在技術(shù)方面安全建設(shè),尤其軟件安全是網(wǎng)絡(luò)安全最基礎(chǔ)防線�����,確保軟件安全要在軟件開(kāi)發(fā)過(guò)程中重視代碼缺陷等問(wèn)題,利用靜態(tài)代碼檢測(cè)等自動(dòng)化技術(shù)�,加強(qiáng)代碼安全建設(shè)及漏洞檢測(cè),通過(guò)提升軟件自身安全性為網(wǎng)絡(luò)安全筑牢根基�,從而降低金融機(jī)構(gòu)遭到網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。Wukong(悟空)靜態(tài)代碼檢測(cè)工具�,從源碼開(kāi)始,為您的軟件安全保駕護(hù)航!
參讀鏈接:
www.woocoom.com/b021.html?i…
thehackernews.com/2021/08/res…
