FIN8黑客带着更强大版本的BADHATCH PoS恶意软件回归

以保持低调而闻名的威胁行为体会在其间长时间停止行动，以避免引起任何注意，并不断改进其工具集，使其在许多探测技术的雷达以下飞行。

其中一个群体是FIN8，这是一个出于经济动机的威胁参与者，在中断了一年半之后，它又开始行动，推出了一款功能强大的后门版本，具有升级的功能，包括屏幕捕获、代理隧道、凭证盗窃和无文件执行。

FireEye于2016年首次记录了FIN8，它以攻击零售业、酒店业和娱乐业而闻名，同时利用各种技术，如矛式网络钓鱼和PUNCHTRACK和BADHATCH等恶意工具，从销售点（POS）系统窃取支付卡数据。

Bitdefender的研究人员在今天发布的一份报告中说：“FIN8团队以长时间休息来改善TTP并提高成功率而闻名。”。“BADHATCH恶意软件是一个成熟的、高度先进的后门软件，使用了多种规避和防御技术。新的后门软件还试图通过使用TLS加密来隐藏Powershell命令来逃避安全监控。”

Badhath自2019年被发现以来，已被部署为一种植入物，除了在当前进程中注入恶意DLL、收集系统信息和将数据过滤到服务器之外，还能够运行从远程服务器检索的攻击者提供的命令。

研究人员指出，自2020年4月以来，至少发现了后门的三种不同变体（v2.12至2.14），Badhath的最新版本滥用了一种名为sslp的合法服务。io在部署过程中阻止检测，使用它下载PowerShell脚本，该脚本反过来执行包含BADHATCH DLL的外壳代码。

PowerShell脚本除了负责实现持久性之外，还负责权限升级，以确保脚本执行后的所有命令都以系统用户的身份运行。

此外，FIN8采用的第二种规避技术涉及假冒与指挥与控制（C2）服务器的通信，该服务器伪装成合法的HTTP请求。

据Bitdefender称，新一波袭击据说发生在过去一年，针对美国、加拿大、南非、波多黎各、巴拿马和意大利的保险、零售、科技和化工行业。

研究人员总结道：“与大多数坚持不懈、技术娴熟的网络犯罪行为人一样，FIN8运营商也在不断改进他们的工具和策略，以避免被发现。”他们敦促企业“将POS网络与员工或客人使用的网络分开”，并过滤掉包含恶意或可疑附件的电子邮件。