Blog • Ciekawostki • Phishing • Zagrożenia Internetowe
Hakerzy FIN8 powracają z nową wersją BADHATCH
29 marca 2021
Wiele grup cyberprzestępczych po przeprowadzaniu fali ataków, chowa się w cień, zaprzestając na pewien czas swoich działań. Zazwyczaj dzieje się tak z dwóch powodów. Po pierwsze przestępcy nie chcą przyciągać uwagi mediów a także dostawców systemów bezpieczeństwa, zaś po drugie, przygotowują w spokoju nowe, jeszcze groźniejsze wersje złośliwego oprogramowania. Klasycznym przykładem tego typu postępowania jest grupa FIN8, która dała się poznać z ataków wymierzonych w placówki handlowe, hotelarstwo i branżę rozrywkową.
Gang przestępczy wykorzystuje szeroką gamę technik, takich jak spear phishing i złośliwe narzędzia: PUNCHTRACK i BADHATCH. Oba służą do kradzieży danych kart płatniczych z systemów POS (Point of Sale). Cyberprzestępczą działalność FIN8 wykryła w 2016 roku firma Fire Eye. Trzy lata później Gigamon odnotował pierwsze ataki przeprowadzone za pośrednictwem BADHATCH. Rozwojowi tego ostatniego narzędzia bacznie przyglądają się specjaliści z Bitdefendera, którzy w ostatnim czasie wytropili najnowszą wersję BADHATCH. Bitdefender w opublikowanym raporcie zwraca uwagę na fakt, iż złośliwe oprogramowanie BADHATCH to dojrzały, wysoce zaawansowany backdoor, który wykorzystuje kilka technik unikania i obrony. Nowy backdoor próbuje ominąć monitorowanie bezpieczeństwa, używając szyfrowania TLS w celu ukrycia poleceń Powershell.
Czym jest Badhatch?
BADHATCH został wdrożony jako implant zdolny do uruchamiania zadań dostarczonych przez napastnika, które są pobierane ze zdalnego serwera. Na tej liście znajdują się m.in załadowanie złośliwych bibliotek DLL, zbierania informacji systemowych i eksfiltracja danych. Badacze Bitdefendera podkreślają, iż najnowsza wersja (2,14) tego backdoora nadużywa legalnej usługi o nazwie sslp.io, aby udaremnić wykrycie jego obecności podczas procesu przenikania do sieci ofiary. Malware pobiera skrypt PowerShell, który z kolei wykonuje kod powłoki zawierający bibliotekę DLL BADHATCH.
Co zrobić, aby zapobiec rozprzestrzenianiu się BADHATCH?
– Oddzielić sieć POS od tych, z których korzystają pracownicy lub goście.
– Dostosować rozwiązania zabezpieczające pocztę e-mail, aby automatycznie odrzucało złośliwe lub
podejrzane załączniki.
– Zintegrować informacje o zagrożeniach z istniejącym SIEM lub mechanizmami zabezpieczeń pod
kątem odpowiednich wskaźników naruszenia bezpieczeństwa.
– Wprowadzić szkolenie uświadamiające w zakresie cyberbezpieczeństwa dla pracowników, aby
pomóc im wykrywać wiadomości phishingowe.
Podobne artykuły:
Jeden z największych programów partnerskich na rynku cyber W Polsce
Ewolucja usług MSP: Dlaczego SOC i XDR stają się standardem w dobie NIS2 i jak na tym zyskać?
Poza horyzont zgodności: Jak duet PKF Polska i Bitdefender definiuje odporność biznesu w 2026 roku
Audyt i technologia: Jak PKF Polska i Bitdefender Polska budują cyfrową odporność biznesu
Autor
Obecnie
Najnowsze wpisy
