Forskare har upptäckt en pågående kampanj mot detaljhandeln VMWare Horizon Point-of-Sale (PoS) tunna klienter.
Den nya attacken våg, som har ägt rum under de senaste åtta till tio veckor, är ett försök att sprida Kobolt Strike, ett legitimt verktyg penetrationstester som också, tyvärr, har antagits under de senaste åren genom hot aktörer.
Enligt forskare från Morphisec, Kobolt Strike — i takt med skadliga nyttolaster — kan användas för att kapa system, exekvera kod, skörd referenser, och har också möjlighet att kringgå EDR skanning.
Pennan testverktyg används i försök att infiltrera PoS-system för att distribuera FrameworkPOS skrapning skadlig kod, som kan användas för att skörda information om kreditkort som tillhör kunder genom att äventyra systemets minne komponenter. Data skrapats av denna malware är komprimerad till .ZIP-format och överförs till kommando-och-kontroll (C2) servrar.
Se även: Cloudflare expanderar regeringen garanterar kanarieöarna i öppenhet bud
“Vi identifierade FrameworkPOS skrapning skadlig kod installerad på några av de tunna klienter, efter att initiera PowerShell/WMI stadier som laddas ner och reflektivt laddade [] Kobolt Strike beacon med PowerShell förlängning direkt i minnet,” forskarna säger.
Cobalt Strike ledstjärna har varit knuten till flera servrar med hjälp av samma C2 till attack återförsäljare. Servrarna också värd en extra shellcode bakdörr beacon med PowerShell och Mimikatz funktionalitet. Dessa servrar är fortfarande aktiv, men myndigheterna har informerats om deras existens.
Infiltration metod som används av de hot de ansvariga aktörerna är ännu inte identifierade, men offren har spårats tillbaka till länder, däribland USA, Japan och Indien.
CNET: Android security-programmet har hjälpt till att fixa över 1 MILJON appar i Google Play
Enligt Morphisec, användningen av Kobolt Strejk, i kombination med FrameworkPOS, rörelse i sidled över PoS nätverk, och användningen av utökning av privilegier, kan tyda på att den nya kampanjen är ett verk av FIN6.
FIN6 är en cybercriminal grupp som specialiserat sig på stealth snarare än sofistikerade toolsets. IBM-forskare anslutna FIN6 till en PoS-attack kampanj mot återförsäljare i USA och Europa under 2018, och stöld av miljontals kreditkortsnummer 2016 har också hänförts till samma grupp.
TechRepublic: sårbarheter i Mjukvara blir fler, mindre förstås
Medan attacker mot återförsäljare finns säkert i den sfär av FIN6, forskarna är inte helt säkra på attribution som det finns också indikatorer som tyder på kopplingar till EmpireMonkey, ett annat ekonomiskt motiverade hot grupp som nyligen länkat till en cyberattack mot Bank of Valletta vilket leder till en förlust på 13 miljoner euro.
Denna månad, Akamai 2019 Tillstånd av Internet rapporten föreslås att återförsäljare har blivit högsta mål för cyberbrottslingar att utnyttja referens fyllning attacker.
Med så mycket stulna uppgifter som nu finns tillgängliga i bulk tippar på nätet, attacker är med hjälp av dessa autentiseringsuppgifter listor för att automatiskt starta attacker mot återförsäljare och deras kunder. Om det lyckas, konton kan infiltreras och bedrägliga inköp kan göras.
Tidigare och relaterade täckning
Farseer malware ger Windows utnyttjar för att attackera koncernens Android-arsenal
Återförsäljare har blivit högsta målet för referens fyllning attacker
Riktade malware attacker mot Elasticsearch servrar våg
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter