.markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body%20h1,.markdown-body%20h2,.markdown-body%20h3,.markdown-body%20h4,.markdown-body%20h5,.markdown-body%20h6{line-height:1.5;margin-top:35px;margin-bottom:10px;padding-bottom:5px}.markdown-body%20h1{font-size:30px;margin-bottom:5px}.markdown-body%20h2{padding-bottom:12px;font-size:24px;border-bottom:1px%20solid%20#ececec}.markdown-body%20h3{font-size:18px;padding-bottom:0}.markdown-body%20h4{font-size:16px}.markdown-body%20h5{font-size:15px}.markdown-body%20h6{margin-top:5px}.markdown-body%20p{line-height:inherit;margin-top:22px;margin-bottom:22px}.markdown-body%20img{max-width:100%}.markdown-body%20hr{border:none;border-top:1px%20solid%20#ffffd;margin-top:32px;margin-bottom:32px}.markdown-body%20code{word-break:break-word;border-radius:2px;overflow-x:auto;background-color:#fff5f5;color:#ff502c;font-size:.87em;padding:.065em%20.4em}.markdown-body%20code,.markdown-body%20pre{font-family:Menlo,Monaco,Consolas,Courier%20New,monospace}.markdown-body%20pre{overflow:auto;position:relative;line-height:1.75}.markdown-body%20pre>code{font-size:12px;padding:15px%2012px;margin:0;word-break:normal;display:block;overflow-x:auto;color:#333;background:#f8f8f8}.markdown-body%20a{text-decoration:none;color:#0269c8;border-bottom:1px%20solid%20#d1e9ff}.markdown-body%20a:active,.markdown-body%20a:hover{color:#275b8c}.markdown-body%20table{display:inline-block!important;font-size:12px;width:auto;max-width:100%;overflow:auto;border:1px%20solid%20#f6f6f6}.markdown-body%20thead{background:#f6f6f6;color:#000;text-align:left}.markdown-body%20tr:nth-child(2n){background-color:#fcfcfc}.markdown-body%20td,.markdown-body%20th{padding:12px%207px;line-height:24px}.markdown-body%20td{min-width:120px}.markdown-body%20blockquote{color:#666;padding:1px%2023px;margin:22px%200;border-left:4px%20solid%20#cbcbcb;background-color:#f8f8f8}.markdown-body%20blockquote:after{display:block;content:""}.markdown-body%20blockquote>p{margin:10px%200}.markdown-body%20ol,.markdown-body%20ul{padding-left:28px}.markdown-body%20ol%20li,.markdown-body%20ul%20li{margin-bottom:0;list-style:inherit}.markdown-body%20ol%20li%20.task-list-item,.markdown-body%20ul%20li%20.task-list-item{list-style:none}.markdown-body%20ol%20li%20.task-list-item%20ol,.markdown-body%20ol%20li%20.task-list-item%20ul,.markdown-body%20ul%20li%20.task-list-item%20ol,.markdown-body%20ul%20li%20.task-list-item%20ul{margin-top:0}.markdown-body%20ol%20ol,.markdown-body%20ol%20ul,.markdown-body%20ul%20ol,.markdown-body%20ul%20ul{margin-top:3px}.markdown-body%20ol%20li{padding-left:6px}.markdown-body%20.contains-task-list{padding-left:0}.markdown-body%20.task-list-item{list-style:none}@media%20(max-width:720px){.markdown-body%20h1{font-size:24px}.markdown-body%20h2{font-size:20px}.markdown-body%20h3{font-size:18px}}
金融機構(gòu)總是容易成為網(wǎng)絡(luò)攻擊者的目標,他們體積規(guī)模龐大網(wǎng)絡(luò)環(huán)境復(fù)雜�,其中任何一個脆弱的環(huán)節(jié)都可能讓黑客大撈一筆。
一個以獲取大筆資金為目標的網(wǎng)絡(luò)犯罪團伙利用一種名為Sardonic的新惡意軟件攻破了美國一家金融機構(gòu)的網(wǎng)絡(luò)�����。被觀察到在被感染的系統(tǒng)上部署了一個全新的后門�,這表明運營商正在不斷地改造他們的惡意軟件庫,以避免被檢測到����。
FIN8是此次事件背后的威脅行動者,至少從2016年1月開始活躍���,以零售���、餐飲、酒店���、醫(yī)療和娛樂行業(yè)為目標�,最終目標是從POS系統(tǒng)中竊取支付卡數(shù)據(jù)����。
這個威脅行為者的惡意武器包括大量的工具和戰(zhàn)術(shù)�����,從POS惡意軟件(例如BadHatch,%20PoSlurp/PunchTrack,%20PowerSniff/PunchBuggy/ShellTea)到Windows零日漏洞和魚叉式釣魚�。
羅馬尼亞網(wǎng)絡(luò)安全技術(shù)公司Bitdefender將之前未記錄在案的惡意軟件稱為“%20Sardonic%20”�,在FIN8針對位于美國的一家未名金融機構(gòu)發(fā)起的攻擊失敗后,在調(diào)查中遇到了這種惡意軟件����。
安全人員在一份報告中說:“Sardonic后門功能非常強大,可以幫助威脅者在不更新組件的情況下利用新的惡意軟件���?���!?/p>
自2016年1月問世以來�����,F(xiàn)IN8利用了多種技術(shù)�����,如魚叉式釣魚和惡意軟件��,如PUNCHTRACK和BADHATCH��,從銷售點(POS)系統(tǒng)竊取銀行卡數(shù)據(jù)����。
該威脅組織以在兩次活動之間延長休息時間以微調(diào)其戰(zhàn)術(shù),并提高其行動的成功率而聞名���,主要通過“l(fā)iving off the land”攻擊���,使用內(nèi)置工具和界面進行網(wǎng)絡(luò)入侵,例如PowerShell以及利用sslip.io等合法服務(wù)來掩飾他們的活動��。
今年3月初��,Bitdefender透露FIN8在中斷一年半之后回歸���,其目標是美國�、加拿大����、南非、波多黎各���、巴拿馬和意大利的保險���、零售�、技術(shù)和化學(xué)行業(yè)�,并推出了改進版的BADHATCH 植入程序并具有升級的功能,包括屏幕捕獲�����、代理隧道��、憑據(jù)盜竊和無文件執(zhí)行�。
在該公司分析的最新事件中,據(jù)稱滲透到目標網(wǎng)絡(luò)進行詳細的偵察���,然后進行橫向移動和特權(quán)升級活動來部署惡意軟件負載�。研究人員說:“為了繼續(xù)特權(quán)升級和橫向移動����,曾多次嘗試在域控制器上部署Sardonic后門�����,但惡意的命令行被阻止了?!?/p>
Sardonic用 C++編寫,不僅采取措施在受感染的機器上建立持久性�,而且還配備了允許它獲取系統(tǒng)信息、執(zhí)行任意命令以及加載和執(zhí)行附加插件的功能��,其結(jié)果被傳輸?shù)竭h程攻擊者控制的服務(wù)器��。
如果有什么不同的話���,最新的發(fā)展是FIN8通過加強其能力和惡意軟件交付基礎(chǔ)設(shè)施的戰(zhàn)術(shù)發(fā)生轉(zhuǎn)變��。在數(shù)字化����、移動化���、實時化的背景下�,金融機構(gòu)帳戶���、渠道���、數(shù)據(jù)及基礎(chǔ)設(shè)施等方面的關(guān)聯(lián)性不斷增強���,業(yè)務(wù)連續(xù)性管理難度增大。不難發(fā)現(xiàn)��,針對金融機構(gòu)的網(wǎng)絡(luò)安全事件頻繁發(fā)生����,數(shù)據(jù)泄露、盜取加密貨幣����、勒索攻擊等等,為企業(yè)帶來嚴重影響�����。但有些機構(gòu)的安全意識依舊薄弱��,一味追求用戶體驗及效率�����。
為了降低與金融惡意軟件相關(guān)的風險���,建議公司更加重視在技術(shù)方面安全建設(shè)��,尤其軟件安全是網(wǎng)絡(luò)安全最基礎(chǔ)防線���,確保軟件安全要在軟件開發(fā)過程中重視代碼缺陷等問題,利用靜態(tài)代碼檢測等自動化技術(shù)�,加強代碼安全建設(shè)及漏洞檢測,通過提升軟件自身安全性為網(wǎng)絡(luò)安全筑牢根基�,從而降低金融機構(gòu)遭到網(wǎng)絡(luò)攻擊的風險。Wukong(悟空)靜態(tài)代碼檢測工具��,從源碼開始��,為您的軟件安全保駕護航!
參讀鏈接:
www.woocoom.com/b021.html?i…
thehackernews.com/2021/08/res…
