Forskere har afdækket en løbende kampagne mod detail VMWare Horizon-Point-of-Sale (PoS) tynde klienter.
Den nye angreb bølge, som har fundet sted over de sidste otte til ti uger, er at forsøge at sprede Cobalt-Strike, et legitimt penetration test værktøj, som har desværre også blevet vedtaget i de seneste år af trussel aktører.
Ifølge forskere fra Morphisec, Kobolt Strike — i takt med ondsindede nyttelast — kan bruges til at kapre systemer, udføre kode, høst legitimationsoplysninger, og er også i stand til at omgå EDR scanning.
Pen-test værktøj bliver brugt i forsøg på at infiltrere PoS-systemer til at implementere FrameworkPOS skrabning malware, som kan bruges til at høste kredit kort oplysninger, der tilhører kunder ved at gå på kompromis med systemets hukommelse komponenter. Data skrabet af denne malware er komprimeret til .ZIP-formater og overført til command-and-control (C2) – servere.
Se også: Cloudflare udvider regering garanterer kanariske øer i gennemsigtighed bud
“Vi identificerede FrameworkPOS skrabning malware, der er installeret på nogle af de tynde klienter, efter initialisering af PowerShell/WMI faser, der har downloadet, og mere eftertænksomt er lagt [] Kobolt Strike beacon med PowerShell forlængelse direkte i hukommelse,” siger forskerne.
Den Kobolt Strike beacon har været knyttet til flere servere ved hjælp af den samme C2 til at angribe forhandlere. De servere også være vært for en ekstra shellcode bagdør beacon med PowerShell og Mimikatz funktionalitet. Disse servere er stadig aktiv, men myndighederne er blevet informeret om, at deres eksistens.
Infiltration metode, der bruges af den trussel aktører, der er ansvarlige er endnu ikke blevet identificeret, men ofrene er blevet sporet tilbage til lande, herunder USA, Japan og Indien.
CNET: Android sikkerhed program har hjulpet fix over 1M apps i Google Play
Ifølge Morphisec, brug af Kobolt-Strike, kombineret med FrameworkPOS, lateral bevægelse på tværs af PoS netværk, og brugen af rettighedsforøgelse, kan indikere, at den nye kampagne er det arbejde, FIN6.
FIN6 er en cyberkriminel gruppe, som har specialiseret sig i stealth snarere end sofistikerede redskaber. IBM-forskere forbundet FIN6 til en PoS-angreb kampagne mod detailhandlere i USA og Europa i 2018, og tyveri af millioner af numre på kreditkort i 2016 har også været tilskrevet den samme gruppe.
TechRepublic: sårbarheder i Software bliver mere og mere talrige, mindre forstået
Mens angreb mod forhandlere, er helt sikkert i regi af FIN6, forskere er ikke helt sikker på om tildeling som der er også indikatorer, der tyder på links til EmpireMonkey, en anden økonomisk motiverede trussel gruppe, som for nylig blev knyttet til et cyberattack mod Banken i Valletta, der fører til tab på €13 mio.
I denne måned, Akamai 2019 State of the Internet rapport foreslået, at forhandlere er blevet det øverste mål for cyberkriminelle at udnytte credential fyld angreb.
Med så meget stjålne data er nu tilgængelige i løs vægt lossepladser online, hackere bruger disse legitimationsoplysninger lister til automatisk at iværksætte angreb mod forhandlere og deres kunder. Hvis det lykkes, konti kan blive infiltreret og svigagtige indkøb kan foretages.
Tidligere og relaterede dækning
Farseer malware bringer Windows udnytter til at angribe koncernens Android-arsenal
Forhandlere er blevet det øverste mål for credential fyld angreb
Målrettet malware-angreb mod Elasticsearch servere bølge
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre