W ciągu ostatnich 8-10 tygodni Morphisec śledził wiele wyrafinowanych ataków wymierzonych w „cienkich” klientów Point of Sale na całym świecie. Znaleźliśmy wiele wskaźników łączących się konkretnie z grupą FIN6. Niektóre wskaźniki są również związane z grupą EmpireMonkey.
Cobalt Strike payload daje atakującym pełną kontrolę nad zainfekowanym systemem i możliwość przenoszenia się do innych systemów, zbierania danych uwierzytelniających użytkowników, wykonywania kodu i nie tylko, unikając jednocześnie zaawansowanych technik skanowania EDR.
Wnikając głębiej, zidentyfikowaliśmy ofiary w Stanach Zjednoczonych, Japonii i Indiach z sektorów finansów, ubezpieczeń i opieki zdrowotnej (przetwarzanie obrazów diagnostycznych), a także dodatkowe cele na całym świecie.
Morphisec Labs nadal analizuje metody infiltracji, z tego powodu w niniejszym raporcie przedstawimy tylko częściowe informacje techniczne. Uważamy jednak, że ważne jest opublikowanie nawet częściowej analizy, aby przedsiębiorstwa były świadome i natychmiast blokowały dostęp do adresów URL wymienionych w dalszej części artykułu – http://blog.morphisec.com/new-global-attack-on-point-of-sale-systems