新的黑客组织从赌场窃取了150000张信用卡信息
研究员说,进入没有防火墙的网络就像是在一个公园里散步.
在遭受一个新的黑客组织的攻击后,一个几乎没有任何安全防御的无名赌场失去了150000张信用卡的信息。
来自Mandiant和FireEye的研究人员Emmanuel Jean-Georges和Barry Vengerik说,去年“Fin5”黑客组织已经越过了这个组织 “平坦”的IT架构,并袭击了开放支付系统。
他们说这个赌场的支付平台甚至缺乏最基本的防火墙,并且没有日志记录。
Emmanuel Jean-Georges今天在华盛顿告诉Cyber防御峰会(原名Mircon):“这是一个非常平坦的网络,单一网域, 访问支付系统时还有非常有限的访问控制。”
”这个赌场酒店的运营商甚至连最低限度的基本保护都没有,例如带有默认否认系统、可以限制访问PCI(付款)系统的防火墙…它会减缓攻击者的速度,并降低成功机率。”
他说他的公司已经调查了十几个受到信用卡信息掠夺袭击的企业,并认为可能还会有其它被黑客入侵过的受害者。
Vengerik说,袭击者已经攻击至少两个支付系统提供商,并将目光瞄准了他们的客户,包括这个赌场。
他说,这次事件应该作为一个警告,提醒企业保护好任何一个第三方组织拥有的公司网络访问权。
攻击组织使用了偷来的凭证以确保在初始渗透时不会发生失误。从那里,攻击者将活动目录作为目标,以解锁更多的凭证并获得横向运动。
Vengerik说:“这是典型的横向妥协。”
攻击工具流程图。
顾问说,Fin5使用了一个罕见的代号为Tornhull的后门和被称为Flipside的VPN来保持持久性。
在一个事件响应公司进行探测时,这个VPN在最初尝试中丢失。去年攻击者注意到了这个VPN的存在,于是在最后期限的前几个月时回来获取了更多的信用卡。
另一个Fin5的定制工具代号为“Driftwood”,它负责指定位置,而信用卡数据转储由工具FiendCry和XOR完成,这些数据在编码后等待收集。
Vengerik说,这个工具的独特之处在于它获得了“令人难以置信的良好评价”,类似的评论只会在达到商业软件的水平时才会出现。
Fin5与其他的FIN攻击团体没有关联,它将清除所有残留的恶意软件和工具, 如果怀疑自己已被识破,就会清除日志。
Mandiant公司依赖AppCompatCache以观察如何系统是怎样成为目标的。
现在,这个赌场已经使用了两因素身份验证和应用程序白名单,并增加日志,这些只是所有变化中的一部分。
文章来源【360安全播报】
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- 1 总书记深深牵挂雪域高原上的人们 4946431
- 2 小米首款汽车起售21.59万 贵吗? 4950826
- 3 雷军“朋友圈”表情包火了 4860716
- 4 抓住“热辣滚烫”的“春日经济” 4784034
- 5 黄圣依杨子直播事件6人被刑拘 4604207
- 6 女子住民宿发现多个隐藏空间 4519506
- 7 香港歌手黎明诗去世 4424309
- 8 小米汽车27分钟大定突破50000台 4381421
- 9 面具男用病毒针扎人系谣言 4278775
- 10 外交部驳斥美财长“中国补贴论” 4167510