在最后一份关于FIN8黑客组织活动的报告发布两年后,安全研究人员表示,他们已经发现FIN8黑客企图对酒店业的公司进行新的攻击。
FIN8,正如其“FIN”代号所示,是一群黑客专注于攻击经济利益,而不是专注于情报收集和网络间谍活动的APT(高级持续威胁)的组织。
虽然一些FIN组织专注于破坏银行网络或通过大规模ATM提款窃取资金,但FIN8集团长期以来一直瞄准POS系统,他们感染恶意软件以窃取支付卡数据,在在线黑客论坛上出售以获取利润。
自2017年以来,FIN一直很安静
上次有人报道FIN8黑客是在2016年和2017年,当时FireEye和root9B发布了一系列针对零售行业PoS系统的攻击报告。
当时,该组织使用鱼叉式网络钓鱼和Windows零日来感染美国零售商的网络与ShellTea(PunchBuggy)后门,他们后来用来种植PoSlurp(PunchTrack)恶意软件 - 旨在窃取来自POS系统的支付卡数据。
自那时起,FIN8活动已经偃旗息鼓,每隔几个月就会对VirusTotal上的一组恶意软件进行一次零星的检测。
2019年发现新的攻击
但在近日发布的一份报告中,网络安全公司Morphisec表示,它发现并阻止了针对酒店业公司的新的FIN8攻击。
这些新的攻击利用了该组过去使用的相同恶意软件,但大大改善了逃避和持久性功能; 表明该组织自上次被发现以来的两年内一直保持活跃并开发工具。
Moprihsec首席技术官Michael Gorelik表示,“这是2019年观察到的第一次攻击,可能很有可能归因于FIN8,尽管有一些指标与已知的FIN7攻击(URL和基础设施)重叠。”
他的观察结果证实了之前许多其他恶意软件研究人员的评论,他们之前曾在FIN6,FIN7和FIN8的活动中看到类似的交叉点。
虽然共享服务器基础架构和TTP(策略,技术和程序)可能会让一些人相信这三个组是相同的,但事实是它们可能不是。
这个看不见的神秘的网络犯罪世界充斥着可租用的服务和黑客。三个小组可以非常容易地解释共享资源,使用共同的供应链来处理其运营的各个方面。
FIN8的回归标志着全球POS系统攻击增加的开始
“除了FIN8的这次攻击之外,我们还看到了FIN6,FIN7和其他人的多次攻击,”Gorelik在一份报告中称,将FIN8更新的恶意软件分解为最细微的细节。
