Търсене
Close this search box.

FIN8 използва модифициран backdoor за атаки

Наблюдава се, че финансово мотивираната група , известна  като FIN8, използва „обновена“ версия на задна врата, наречена Sardonic, за да достави ransomware BlackCat.

Според екипа на Symantec Threat Hunter, част от Broadcom, разработката е опит от страна на групата за електронни престъпления да разнообрази фокуса си и да увеличи печалбите от заразени структури. Опитът за проникване е извършен през декември 2022 г.

FIN8 се проследява от компанията за киберсигурност под името Syssphinx. Известно е, че противникът е активен поне от 2016 г., като първоначално му се приписват атаки, насочени към системи за продажба в търговски обекти (PoS), използващи зловреден софтуер като PUNCHTRACK и BADHATCH.

Групата се появи отново след повече от година през март 2021 г. с актуализирана версия на BADHATCH, последвана от напълно нов имплант по поръчка, наречен Sardonic, който беше разкрит от Bitdefender през август 2021 г.

„Базираната на C++ задна вратичка Sardonic има възможност да събира системна информация и да изпълнява команди и разполага със система от плъгини, предназначена за зареждане и изпълнение на допълнителен полезен товар от злонамерен софтуер, доставен като DLL“, заяви Symantec в доклад, споделен с The Hacker News.

За разлика от предишния вариант, който беше разработен на C++, последната итерация съдържа значителни промени, като по-голямата част от изходния код е пренаписана на C и е модифицирана така, че умишлено да се избегнат прилики.

При инцидента, анализиран от Symantec, Sardonic е вграден в PowerShell скрипт, който е бил разположен в целевата система след получаване на първоначален достъп. Скриптът е проектиран така, че да стартира .NET loader, който след това декриптира и изпълнява модул инжектор, за да стартира в крайна сметка импланта.

„Целта на инжектора е да стартира задната врата в новосъздаден процес WmiPrvSE.exe“, обяснява Symantec. „При създаването на процеса WmiPrvSE.exe инжекторът се опитва да го стартира в сесия-0 (най-добро усилие), като използва токен, откраднат от процеса lsass.exe.“

Sardonic, освен че поддържа до 10 интерактивни сесии на заразения хост, в които заплахата да изпълнява злонамерени команди, поддържа три различни формата на плъгини за изпълнение на допълнителни DLL и shellcode.

Някои от другите функции на backdoor-а включват възможността за пускане на произволни файлове и екфилтриране на файловото съдържание от компрометираната машина към контролирана от извършителя инфраструктура.

Това не е първият случай, в който FIN8 е засечена да използва Sardonic във връзка с атака с откупващ софтуер. През януари 2022 г. Lodestone и Trend Micro разкриха използването от FIN8 на рансъмуера White Rabbit, който сам по себе си се основава на Sardonic.

„Syssphinx продължава да развива и подобрява възможностите си и инфраструктурата за доставка на зловреден софтуер, като периодично усъвършенства инструментите и тактиките си, за да избегне откриване“, казва Symantec.

„Решението на групата да разшири обхвата си от атаки в точките на продажба до внедряване на ransomware демонстрира отдадеността на участниците в заплахата да максимизират печалбите си от организациите жертви.“

Източник: The Hacker News

Подобни публикации

28 февруари 2024

Китай стартира нов план за киберзащита на индус...

Тази седмица Министерството на промишлеността и информационните тех...
28 февруари 2024

Уязвимостта на плъгина WordPress LiteSpeed изла...

В плъгина LiteSpeed Cache за WordPress е разкрита уязвимост в сигур...
28 февруари 2024

Xeno RAT се превръща в мощна заплаха в GitHub

В GitHub е публикуван „сложно проектиран“ троянски кон ...
28 февруари 2024

Хакването на Optum е свързано с рансъмуера Blac...

Кибератаката срещу дъщерното дружество на UnitedHealth Group Optum,...
28 февруари 2024

Новата версия на IDAT loader използва стеганогр...

Хакерска група, проследена като „UAC-0184“, е забелязан...
28 февруари 2024

DOOM идва в интелигентните косачки Husqvarna

Ако някога сте искали да играете DOOM на косачка за трева, скоро ще...
28 февруари 2024

Белият дом призовава да се премине към езици за...

Службата на националния кибердиректор на Белия дом (ONCD) призова д...
28 февруари 2024

Предимства на включването на услугата MDR в офе...

Кибератаките се развиват и стават все по-усъвършенствани, а организ...
Бъдете социални
Още по темата
27/02/2024

САЩ и НАТО: Руските хакери ...

Членовете на разузнавателния алианс „Пет очи“...
27/02/2024

ThyssenKrupp потвърждава ки...

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата...
24/02/2024

Ефективното реагиране при и...

Според изследователски доклад на Dark Reading...
Последно добавени
28/02/2024

Китай стартира нов план за ...

Тази седмица Министерството на промишлеността и...
28/02/2024

Уязвимостта на плъгина Word...

В плъгина LiteSpeed Cache за WordPress...
28/02/2024

Xeno RAT се превръща в мощ...

В GitHub е публикуван „сложно проектиран“...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!