I ricercatori hanno scoperto una campagna contro la vendita al dettaglio VMWare Horizon Point-of-sale (PoS) thin client.
La nuova onda di attacco, che ha avuto luogo negli ultimi otto-dieci settimane, sta tentando di diffondere Cobalto Sciopero, un legittimo strumento di test di penetrazione, che è anche, purtroppo, sono state adottate negli ultimi anni dalla minaccia attori.
Secondo i ricercatori Morphisec, Cobalto Colpiscono, in tandem con payload dannosi — può essere utilizzato per dirottare i sistemi, eseguire il codice, alla raccolta di credenziali, ed è anche in grado di aggirare EDR la scansione.
La penna strumento di test viene utilizzato nel tentativo di infiltrarsi in un sistema PoS per distribuire FrameworkPOS raschiare malware, che può essere utilizzato per raccogliere le informazioni della carta di credito appartenenti ai clienti da compromettere la memoria di sistema componenti. Dati raschiato da questo malware è compresso in .I formati ZIP e trasferito al comando e controllo (C2) server.
Vedi anche: Cloudflare si espande governo garantisce canarini in trasparenza offerta
“Abbiamo identificato FrameworkPOS raschiando il malware installato su alcuni dei thin client, dopo l’inizializzazione di PowerShell/WMI fasi che scaricati e aggiornati caricato [i] Cobalto Sciopero beacon con PowerShell estensione direttamente nella memoria,” dicono i ricercatori.
Il Cobalto Sciopero beacon è stato collegato a più server utilizzando lo stesso C2 per attaccare i rivenditori. I server che ospitano anche un ulteriore shellcode backdoor beacon con PowerShell e Mimikatz funzionalità. Questi server sono ancora attivi, ma le autorità sono state informate della loro esistenza.
L’infiltrazione metodo utilizzato dalla minaccia attori responsabili è ancora stato identificato, ma le vittime sono state rintracciate per paesi, tra cui USA, Giappone e India.
CNET: la sicurezza di Android programma ha contribuito a fissare oltre 1 milione di app in Google Play
Secondo Morphisec, l’uso di Cobalto Sciopero, combinato con FrameworkPOS, il movimento laterale tra PoS reti, e l’uso di privilege escalation, potrebbe indicare che la nuova campagna è opera di FIN6.
FIN6 è un criminale informatico gruppo specializzata in stealth piuttosto sofisticati strumenti. IBM ricercatori legati FIN6 di un PoS attacco campagna contro i rivenditori al dettaglio negli USA e in Europa nel 2018, e il furto di milioni di numeri di carte di credito nel 2016 è stato anche attribuito al medesimo gruppo.
TechRepublic: le vulnerabilità del Software stanno diventando sempre più numerosi, meno capito
Mentre gli attacchi contro i rivenditori sono certamente nell’ambito di FIN6, i ricercatori non sono del tutto sicuro di attribuzione, in quanto ci sono anche indicatori che suggeriscono link per EmpireMonkey, altro, finanziariamente motivati minaccia di gruppo, che è stato recentemente associato a un attacco contro la Banca di la Valletta, con conseguente perdita di 13 milioni di euro.
Questo mese, Akamai 2019 Stato di Internet di report ha suggerito che i rivenditori sono diventati il top per i criminali informatici utilizzano credenziali ripieno attacchi.
Con tanto di furto di dati ora disponibili in bulk dump online, gli hacker utilizzano queste credenziali elenca automaticamente lanciare attacchi contro i retailer e i loro clienti. In caso di successo, gli account possono essere infiltrati e acquisti fraudolenti possono essere fatte.
Precedente e relativa copertura
Farseer malware porta di Windows sfrutta al gruppo di attacco Android arsenal
I retailer sono diventati l’obiettivo per credenziale ripieno attacchi
Attacchi di malware mirati contro Elasticsearch server di sovratensione
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati