1. 威客安全首页
  2. 安全资讯

源头上感染:FIN7黑客组织将新型RAT恶意软件加载到ATM制造商软件中

源头上感染:FIN7黑客组织将新型RAT恶意软件加载到ATM制造商软件中

FIN7黑客组织将新型工具添加到了其恶意工具集里,其是一种能直接将载荷恶意软件分发到内存里的加载器,并且将一个模块连接到ATM制造商NCR Corporation的合法远程管理软件中。

FIN7组织也被研究人员追踪为Carbanak或Cobalt。2015年以来,他们潜入了美国47个州的3600个酒店、餐厅和赌场的信息系统,还曾进入英国、澳大利亚和法国的信息系统。2018年,美国宣布其中3名成员被逮捕,罪名是潜入美国数百个美国公司系统、盗取超1500万名客户的信用卡号。3名被捕成员是乌克兰黑客,年龄在30-44岁之间,他们一人在波兰被捕、一人在西班牙小镇被捕、一人在德国被捕。他们使用的是一家本部位于俄罗斯和以色列的信息安全公司作为幌子,并通过这家公司招募其他黑客。虽然在俄罗斯,但这个组织是一个单纯受金钱驱动的黑客组织。

FireEye Mandiant小组发现一些新型内存内恶意软件Dropper的样本可以加载多个有效负载,这些样本被称为BOOSTWRITE,可加载多个载荷,其中就包括与FIN7黑客组织有关联的Carbanak后门。

在BOOSTWRITE加载程序使用启动时从其运算符接收到的加密密钥对嵌入式有效载荷进行解密之后,新识别的“RDFSNIFFER”RAT会到达受感染计算机。


FIN7的新恶意软件Dropper

BOOSTWRITE使用了一个DLL搜索顺序劫持技术将自己的恶意DLL加载到受感染系统的内存之中,可让其下载初始矢量(IV)以及所需的解密密钥来解密内置载荷。

其报告称,“一旦密钥和初始矢量得到下载,恶意软件会解密内置载荷,并对结果进行健全性测试。如测试通过,则载荷会是PE32.DLL,无需触碰文件系统便能加载内存。”

在分析其中一个BOOSTWRITE样本时,研究人员发现这个加载程序是用来放置两个载荷的:Carbanak后门和新发现的RDFSNIFFER模型。

源头上感染:FIN7黑客组织将新型RAT恶意软件加载到ATM制造商软件中

尽管大多数样本未签名,但其中一个样本恢复出来的签名是由MANGO ENTERPRISE LIMITED所签发,在VirusTotal杀毒引擎中被发现。

“通过不断利用代码证书,FIN7增加了绕过多个安全控制的机率并成功感染系统”。

内存加载RAT木马

RDFSNIFFER模型将RAT载荷放置在受感染目标的计算机上,让FIN7黑客攻击NCR Aloha命令中心客户应用,并通过现有的合法双因素验证会话与感染者系统进行交互。每次合法软件在受感染系统上执行时,RDFSNIFFER便会加载到NCR Corporation的RDF客户端上,这会让恶意软件监控或更改使用RDF客户端连接,从而为运营商提供高效的中间攻击工具。

Mandiant表示,“该模型包含一个后门组件,可让其在活跃的RDF客户端会话里注入命令行。其后门能让攻击者上传、下载、执行和/或删除任意文件。”

源头上感染:FIN7黑客组织将新型RAT恶意软件加载到ATM制造商软件中

FIN7一直在进化

自从其是在2015年中旬被发现主要针对欧洲银行和销售点终端,以及美国多个领域的公司。

尽管一些FIN7成员去年已经被捕,但该组织仍旧保持活跃状态,并从此改用其他恶意软件,如上文中的恶意软件,还有Arbor Networks发现的、针对俄罗斯和罗马尼亚银行员工的钓鱼活动。5月份的时候,卡巴斯基实验室全球研究和分析小组表示其发现了FIN7组织仍然在行动的证据。Mandiant表示:虽说这些事件包含了FIN7的典型和长期使用的工具如CARBANAK和BABYMETAL,但新工具和技术的引入更能证明FIN7还在持续进化。

原文链接:http://www.mottoin.com/detail/4227.html

本站声明:网站内容来源于mottoin,如有侵权,请联系我们,我们将及时处理。

本文转为转载文章,本文观点不代表威客安全立场。

联系我们

4006-119-120

在线咨询:点击这里给我发消息

邮件:public@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

X