新的黑客组织从赌场窃取了150000张信用卡信息

业界 作者:邮箱投递 2015-10-16 05:44:30

研究员说,进入没有防火墙的网络就像是在一个公园里散步.

在遭受一个新的黑客组织的攻击后,一个几乎没有任何安全防御的无名赌场失去了150000张信用卡的信息。

来自Mandiant和FireEye的研究人员Emmanuel Jean-GeorgesBarry Vengerik说,去年“Fin5”黑客组织已经越过了这个组织 “平坦”的IT架构,并袭击了开放支付系统。

他们说这个赌场的支付平台甚至缺乏最基本的防火墙,并且没有日志记录。

Emmanuel Jean-Georges今天在华盛顿告诉Cyber防御峰会(原名Mircon):“这是一个非常平坦的网络,单一网域, 访问支付系统时还有非常有限的访问控制。”

”这个赌场酒店的运营商甚至连最低限度的基本保护都没有,例如带有默认否认系统、可以限制访问PCI(付款)系统的防火墙…它会减缓攻击者的速度,并降低成功机率。”

他说他的公司已经调查了十几个受到信用卡信息掠夺袭击的企业,并认为可能还会有其它被黑客入侵过的受害者。

Vengerik说,袭击者已经攻击至少两个支付系统提供商,并将目光瞄准了他们的客户,包括这个赌场。

他说,这次事件应该作为一个警告,提醒企业保护好任何一个第三方组织拥有的公司网络访问权。

攻击组织使用了偷来的凭证以确保在初始渗透时不会发生失误。从那里,攻击者将活动目录作为目标,以解锁更多的凭证并获得横向运动。

Vengerik说:“这是典型的横向妥协。”

赌场2

攻击工具流程图。

顾问说,Fin5使用了一个罕见的代号为Tornhull的后门和被称为Flipside的VPN来保持持久性。

在一个事件响应公司进行探测时,这个VPN在最初尝试中丢失。去年攻击者注意到了这个VPN的存在,于是在最后期限的前几个月时回来获取了更多的信用卡。

另一个Fin5的定制工具代号为“Driftwood”,它负责指定位置,而信用卡数据转储由工具FiendCry和XOR完成,这些数据在编码后等待收集。

Vengerik说,这个工具的独特之处在于它获得了“令人难以置信的良好评价”,类似的评论只会在达到商业软件的水平时才会出现。

Fin5与其他的FIN攻击团体没有关联,它将清除所有残留的恶意软件和工具, 如果怀疑自己已被识破,就会清除日志。

Mandiant公司依赖AppCompatCache以观察如何系统是怎样成为目标的。

现在,这个赌场已经使用了两因素身份验证和应用程序白名单,并增加日志,这些只是所有变化中的一部分。

文章来源【360安全播报】

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接