研究人员发现FIN8以金融机构为目标的新后门

有人观察到，一个因将目光投向零售业、酒店业和娱乐业而臭名昭著的、出于财务动机的威胁行为人在受感染的系统上部署了一个全新的后门，这表明运营商正在不断重新装备其恶意软件库，以避免被发现，并保持低调。

之前未记录的恶意软件被称为讥讽的“由罗马尼亚网络安全技术公司Bitdefender提供，在FIN8针对美国一家未具名金融机构发动攻击未果后，该公司在一次法医调查中遇到了Bitdefender。

Bitdefender研究人员Eduard Budaca和Victor Vrabie在与《黑客新闻》分享的一份报告中说，据称正在积极开发中，“讽刺后门功能极其强大，具有广泛的功能，可以帮助威胁行为人在不更新组件的情况下动态利用新的恶意软件。”。

自2016年1月出现以来，FIN8利用了多种技术，包括矛式网络钓鱼和PUNCHTRACK和BADHATCH等恶意软件，从销售点（POS）系统窃取支付卡数据。

该威胁组织以在两次战役之间延长休息时间来调整战术并提高行动成功率而闻名，它主要通过“以陆地为生”的攻击进行网络入侵，使用PowerShell等内置工具和接口，并利用sslip等合法服务。他们试图掩盖自己的活动。

今年3月早些时候，Bitdefender公布了FIN8的回归，此前FIN8暂停了一年半，以美国、加拿大、南非、波多黎各、巴拿马和意大利的保险、零售、技术和化工行业为目标，推出了改进版的BADHATCH植入物，具有升级的功能，包括屏幕捕捉、代理隧道、，凭证盗窃和无文件执行。

在该公司分析的最新事件中，据说攻击者已渗透到目标网络进行详细侦察，然后进行横向移动和权限提升活动以部署恶意软件负载。研究人员说：“曾多次尝试在域控制器上部署讽刺的后门，以继续特权升级和横向移动，但恶意命令行被阻止。”。

写在C++中，SARDIONIC不仅采取步骤来在被破坏的机器上建立持久性，而且还配备有允许它获得系统信息、执行任意命令、加载和执行附加插件的能力，其结果被发送到远程攻击者控制的服务器。

如果说有什么区别的话，最新的发展是FIN8通过加强其能力和恶意软件交付基础设施而改变策略的又一个迹象。为了降低与金融恶意软件相关的风险，建议公司将其POS网络与员工或客人使用的POS网络分开，培训员工更好地发现钓鱼电子邮件，并改进电子邮件安全解决方案，以过滤潜在的可疑附件。