0xNews - FIN8 해커 그룹의 더 발전된 PoS 대상 맬웨어 발견
0xNews - FIN8 해커 그룹의 더 발전된 PoS 대상 맬웨어 발견
Bitdefender 발표
https://labs.bitdefender.com/2021/03/fin8-group-is-back-in-business-with-improved-badhatch-kit/
이번 발표의 영문 PDF 파일 링크 - 총 17 페이지
FIN8 해커 그룹은 화면 캡처, 프록시 터널링, 자격 증명 도용, 파일리스 실행 등을 이용하여 업그레이드된 기능의 맬웨어 발견
https://malpedia.caad.fkie.fraunhofer.de/actor/fin8
2016년 FireEye 에서 FIN8 해커 그룹이 만든 PUNCHTRACK 와 BADHATCH 와 같은 맬웨어 발견
해당 맬웨어는 PoS 시스템을 대상으로 하여 결제 카드 데이터를 훔침
또한 해당 기기를 사용하는 회사에 대한 공격을 함께 진행
Bitdefender 연구팀은 FIN8 에서 TTP 기능 개선을 통한 성공률 상승을 위해 긴 시간을 투자한 것으로 파악
BADHATCH 맬웨어는 다양한 회피 기능 탑재와 방어 기술을 사용하는 발전된 백도어 기능을 보여주는 것으로 분석
TLS 암호화를 사용하여 PowerShell 명령을 은폐하여 보안 모니터링 회피 시도
BADHATCH 는 2019년 발견 이후 프로세스에 DLL Injection 시도
시스템 정보를 수집
데이터를 서버로 유출
원격 서버에서 공격자가 수행하는 명령을 전달받아 수행하는 임플란트 배포되어 실행
2020년 4월 이후 최소 버전 업데이트를 3회 이상 한 것으로 분석
최신 버전인 2.14 는 sslp.io 라는 정상적인 서비스를 악용
배포 프로세스 중 탐지를 방해하도록 함
BADHATCH DLL 이 포함된 쉘 코드를 차례로 실행하는 PowerShell 스크립트를 다운로드
PowerShell 스크립트는 지속적인 공격 수행 외 스크립트 실행을 게시하는 모든 명령이 SYSTEM 사용자로 실행되도록 권한 상승 처리
또한 FIN8 에서는 정상적인 HTTP 요청으로 가장하는 C&C command-and-control 와 통신 포함
다른 해커그룹과 마찬가지로 FIN8 또한 탐지를 회피하기 위해 지속적으로 도구 업데이트와 공격 전술 개선을 수행
기업에서는 직원이나 게스트가 사용하는 네트워크에서 POS 네트워크 분리 운영
이메일 필터링할 것
악의적이거나 의심스러운 이메일의 첨부 파일에 대한 신고 등을 권고
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.