FIN8-Gruppe nutzt seit Kurzem die Backdoor BADHATCH mit erweiterten Funktionalitäten und verbesserter Tarnung.

https://labs.bitdefender.com/2021/03/fin8-group-is-back-in-business-with-improved-badhatch-kit/

Die Cyberkriminellen der FIN8-Gruppe haben die Möglichkeiten des Backdoor-Toolkits BADHATCH für ihre Zwecke erweitert und greifen Unternehmen mit neuen Varianten gezielt an. Die Experten der Bitdefender Labs konnten feststellen, dass die Gruppe nach einer Pause von etwa eineinhalb Jahren in mehreren Ländern wieder aktiv ist. Ins Visier dürfte gezielt der Einzelhandel sowie das Hotel- und Gaststättengewerbe geraten.

Die Hackergruppe FIN8 ist seit 2016 aktiv und hat sich laut MITRE auf den Diebstahl von Kreditkartendaten von POS-Systemen spezialisiert. Dazu nutzt die Gruppe zahlreiche unterschiedliche Angriffsvektoren, darunter seit 2019 eine funktionsreiche Malware namens BADHATCH. Spear-Phishing-Kampagnen der Gruppe zielen außerdem auf den Einzelhandel sowie auf Hotels und Gaststätten ab. Aktuell finden sich auch Versicherungen oder Unternehmen aus der Chemieindustrie unter den Opfern der neuen Variante.

Neue Variante

Seit April 2020 konnte Bitdefender drei Varianten der fortschrittlichen Backdoor BADHATCH entdecken. Die Hacker können bei erfolgreichem Angriff Daten zu Kreditkartenvorgängen am Point-of-Sale stehlen. Zu den neuen Funktionalitäten der dritten Generation des Toolkits gehören unter anderem:

das unerlaubte Aufzeichnen von Bildschirminhalten, Proxy-Tunnel und eine Fileless Ausführung,
sowie ein besserer Schutz gegen Abwehrsoftware. Powershell-Kommandos werden nun mit TLS unter Missbrauch des sslip.io-Dienstes verschlüsselt.

Handlungsempfehlungen

Wie die meisten hartnäckigen und geschickten Cyberkriminellen verbessert auch FIN8 ständig seine Tools und Taktiken, um nicht entdeckt zu werden. Bitdefender empfiehlt, die folgenden Maßnahmen zu ergreifen, um die Auswirkungen von Finanz-Malware zu minimieren:

Das POS-Netzwerk vom Netzwerk trennen, das von Mitarbeitern oder Gästen genutzt wird.
Schulungen zum Thema Cybersicherheit für Mitarbeiter durchführen, damit sie Phishing-E-Mails erkennen können.
E-Mail-Sicherheitslösung anpassen, dass bösartige oder verdächtige Anhänge automatisch entfernt werden.
Bedrohungsdaten in das bestehende SIEM oder in die Sicherheitskontrollen für relevante Indikatoren der Kompromittierung integrieren.
Kleine und mittelständische Unternehmen ohne eigenes Sicherheitsteam sollten die Auslagerung von Sicherheitsoperationen an Anbieter von Lösungen für Managed Detection and Response in Betracht ziehen.

»Wir fordern Unternehmen in den betroffenen Branchen zu erhöhter Wachsamkeit auf. IT-Teams sollen nach Hinweisen auf kompromittierte Daten suchen«, erklärt Bogdan Botezatu, Leiter der Bedrohungsanalyse bei Bitdefender. »Die neuen Angriffe, die sich als Fileless-Malware gut vor herkömmlichen Signatur-basierten Abwehrtechnologien verstecken, zeigen, wie wichtig Managed-Detection-and-Response-Dienste und Threat Hunting sind. Denn nur fortgeschrittene EDR-Lösungen oder der Blick des menschlichen Analysten erkennen Angriffe frühzeitig oder beheben die Schäden im Ernstfall.«

Ein Whitepaper von Bitdefender Labs beschreibt die Unterschiede zwischen den drei BADHATCH-Versionen und die derzeit bekannten Kompromittierungsindikatoren. Das Whitepaper steht zum Downlad hier zur Verfügung: https://labs.bitdefender.com/2021/03/fin8-group-is-back-in-business-with-improved-badhatch-kit/

80 Artikel zu „Backdoor“

NEWS | IT-SECURITY | TIPPS

Trojaner-Backdoor: Infizierte Spiele-Apps im Google Play Store

26. September 2015

Malware-Präventionssystem Google Bouncer durch ausgefeilte Tarnung umgangen. Ein europäischer Security-Software-Hersteller macht auf einen außergewöhnlichen Angriff auf Android-Nutzer aufmerksam. Cyberkriminelle nutzten Ende 2014 Vollversionen von populären Spiele-Apps wie »Plants vs. Zombies« oder »Candy Crush« als Tarnung, um den Trojaner Android/Mapin tief in die mobilen Systeme der nichts ahnenden Opfer einzuspeisen. Daran besonders heikel: Durch eine ausgefeilte…