【安全资讯】研究人员对FIN8组织使用的BADHATCH后门进行拓展分析

上周，Bitdefender安全公司发布了关于FIN8组织近期活动的报告，报告中重点关注BADHATCH后门。研究发现，FIN8组织使用Bitdefender来针对化工，保险，零售和技术行业的组织。研究人员通过分析该组织的基础架构，发现了FIN8的其他基础设施。

Bitdefender的报告中提供了两个IP地址，标记为BADHATCH的命令和控制IOC：

• 104.168.145[.]204 (HOSTWINDS, US)
• 192.52.167[.]199 (QUADRANET, US)

在2020年12月期间获得了两个IP地址的标语信息，在端口TCP/22和TCP/80上显示了相同的字符串。

通过在TCP/80 ‘HTTP/1.1 404服务器上观察到的字符串，链接到另外两个承载着相同标语信息的IP地址：

• 89.45.4[.]192 (M247, US)
• 108.62.118[.]100 (LEASEWEB, US)

对两个新的IP地址进行查询，发现与开头的BADHATCH IOC具有相同的标语信息，该标语信息托管在TCP/22 ‘SSH-2.0-OpenSSH_7.9p1 Debian-10+deb10u2’。

鉴于IP地址的数量很少，且拥有相同的标题信息，因此这两个新的IP被认为是FIN8活动的指纹。通过分析89.45.4[.]192 和 108.62.118[.]100的网络流量数据，有如下发现：

• -    在2021年1月24日至3月13日期间，在89.45.4 [.]192和108.62.118 [.]100上重复建立的入站连接，这些TCP/443来自众多的潜在受害者，包括：
  •     一家德国物流公司
  •     一家瑞典的工程公司
  •     一家美国银行
  •     美国的信用合作社
  •     一家位于美国的工程公司

• -    一些证据表明89.45.4 [.] 192将于2021年2月20日或前后接任主要C2。