11/03/21
Злоумышленники часто стараются действовать незаметно, прекращая свои операции на длительные периоды времени, а также постоянно совершенствуют свои инструменты с целью обхода современных технологий обнаружения.
Одной из таких группировок является FIN8, которая возобновила свою вредоносную деятельность после полуторагодичного перерыва с более мощной версией бэкдора BADHATCH с расширенными возможностями, включая захват экрана, прокси-туннелирование, кражу учетных данных и бесфайловое выполнение.
BADHATCH был обнаружен в 2019 году и развернут как имплант, способный запускать команды злоумышленника, полученные с удаленного сервера, а также внедрять вредоносные DLL-библиотеки в текущий процесс, похищать системную информацию и передавать данные на сервер. С апреля 2020 года были обнаружены как минимум три различных варианта бэкдора (v2.12–2.14). Последняя версия вредоноса, по словам экспертов из Bitdefender, использует легитимный сервис sslp.io с целью избежать обнаружения во время процесса развертывания, используя его для загрузки PowerShell-скриптов.
PowerShell-скрипт не только отвечает за обеспечение персистентности, но также предоставляет хакерам возможность повышения привилегий для выполнения команд с правами SYSTEM.
Кроме того, второй используемый FIN8 метод уклонения включает передачу сообщений с помощью C&C-сервера, замаскированных под легитимные HTTP-запросы.
Как отметили специалисты, новая вредоносная кампания была нацелена против компаний в страховой и розничной сферах, а также технологической и химической промышленности в США, Канаде, Южной Африке, Пуэрто-Рико, Панаме и Италии.
