新的黑客组织从赌场窃取了150000张信用卡信息

阅读量75887

|

发布时间 : 2015-10-16 13:23:57

x
译文声明

本文是翻译文章,文章来源:illusion_z @360安全播报

原文地址:http://www.theregister.co.uk/2015/10/14/jackpot_new_hacking_group_steals_150000_credit_cards_from_casino/

译文仅供参考,具体内容表达以及含义原文为准。

https://p0.ssl.qhimg.com/t01dd7504a4a6533514.jpg

研究员说,进入没有防火墙的网络就像是在一个公园里散步.

在遭受一个新的黑客组织的攻击后,一个几乎没有任何安全防御的无名赌场失去了150000张信用卡的信息。

来自Mandiant和FireEye的研究人员Emmanuel Jean-GeorgesBarry Vengerik说,去年“Fin5”黑客组织已经越过了这个组织 “平坦”的IT架构,并袭击了开放支付系统。

他们说这个赌场的支付平台甚至缺乏最基本的防火墙,并且没有日志记录。

Emmanuel Jean-Georges今天在华盛顿告诉Cyber防御峰会(原名Mircon):“这是一个非常平坦的网络,单一网域, 访问支付系统时还有非常有限的访问控制。”

”这个赌场酒店的运营商甚至连最低限度的基本保护都没有,例如带有默认否认系统、可以限制访问PCI(付款)系统的防火墙…它会减缓攻击者的速度,并降低成功机率。”

他说他的公司已经调查了十几个受到信用卡信息掠夺袭击的企业,并认为可能还会有其它被黑客入侵过的受害者。

Vengerik说,袭击者已经攻击至少两个支付系统提供商,并将目光瞄准了他们的客户,包括这个赌场。

他说,这次事件应该作为一个警告,提醒企业保护好任何一个第三方组织拥有的公司网络访问权。

攻击组织使用了偷来的凭证以确保在初始渗透时不会发生失误。从那里,攻击者将活动目录作为目标,以解锁更多的凭证并获得横向运动。

Vengerik说:“这是典型的横向妥协。”

https://p4.ssl.qhimg.com/t016d2e536336e106bf.jpg

攻击工具流程图。

顾问说,Fin5使用了一个罕见的代号为Tornhull的后门和被称为Flipside的VPN来保持持久性。

在一个事件响应公司进行探测时,这个VPN在最初尝试中丢失。去年攻击者注意到了这个VPN的存在,于是在最后期限的前几个月时回来获取了更多的信用卡。

另一个Fin5的定制工具代号为“Driftwood”,它负责指定位置,而信用卡数据转储由工具FiendCry和XOR完成,这些数据在编码后等待收集。

Vengerik说,这个工具的独特之处在于它获得了“令人难以置信的良好评价”,类似的评论只会在达到商业软件的水平时才会出现。

Fin5与其他的FIN攻击团体没有关联,它将清除所有残留的恶意软件和工具, 如果怀疑自己已被识破,就会清除日志。

Mandiant公司依赖AppCompatCache以观察如何系统是怎样成为目标的。

现在,这个赌场已经使用了两因素身份验证和应用程序白名单,并增加日志,这些只是所有变化中的一部分。

本文翻译自illusion_z @360安全播报 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
cruel_blue_
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66