Търсене
Close this search box.

Наблюдава се, че финансово мотивираната група , известна  като FIN8, използва „обновена“ версия на задна врата, наречена Sardonic, за да достави ransomware BlackCat.

Според екипа на Symantec Threat Hunter, част от Broadcom, разработката е опит от страна на групата за електронни престъпления да разнообрази фокуса си и да увеличи печалбите от заразени структури. Опитът за проникване е извършен през декември 2022 г.

FIN8 се проследява от компанията за киберсигурност под името Syssphinx. Известно е, че противникът е активен поне от 2016 г., като първоначално му се приписват атаки, насочени към системи за продажба в търговски обекти (PoS), използващи зловреден софтуер като PUNCHTRACK и BADHATCH.

Групата се появи отново след повече от година през март 2021 г. с актуализирана версия на BADHATCH, последвана от напълно нов имплант по поръчка, наречен Sardonic, който беше разкрит от Bitdefender през август 2021 г.

„Базираната на C++ задна вратичка Sardonic има възможност да събира системна информация и да изпълнява команди и разполага със система от плъгини, предназначена за зареждане и изпълнение на допълнителен полезен товар от злонамерен софтуер, доставен като DLL“, заяви Symantec в доклад, споделен с The Hacker News.

За разлика от предишния вариант, който беше разработен на C++, последната итерация съдържа значителни промени, като по-голямата част от изходния код е пренаписана на C и е модифицирана така, че умишлено да се избегнат прилики.

При инцидента, анализиран от Symantec, Sardonic е вграден в PowerShell скрипт, който е бил разположен в целевата система след получаване на първоначален достъп. Скриптът е проектиран така, че да стартира .NET loader, който след това декриптира и изпълнява модул инжектор, за да стартира в крайна сметка импланта.

„Целта на инжектора е да стартира задната врата в новосъздаден процес WmiPrvSE.exe“, обяснява Symantec. „При създаването на процеса WmiPrvSE.exe инжекторът се опитва да го стартира в сесия-0 (най-добро усилие), като използва токен, откраднат от процеса lsass.exe.“

Sardonic, освен че поддържа до 10 интерактивни сесии на заразения хост, в които заплахата да изпълнява злонамерени команди, поддържа три различни формата на плъгини за изпълнение на допълнителни DLL и shellcode.

Някои от другите функции на backdoor-а включват възможността за пускане на произволни файлове и екфилтриране на файловото съдържание от компрометираната машина към контролирана от извършителя инфраструктура.

Това не е първият случай, в който FIN8 е засечена да използва Sardonic във връзка с атака с откупващ софтуер. През януари 2022 г. Lodestone и Trend Micro разкриха използването от FIN8 на рансъмуера White Rabbit, който сам по себе си се основава на Sardonic.

„Syssphinx продължава да развива и подобрява възможностите си и инфраструктурата за доставка на зловреден софтуер, като периодично усъвършенства инструментите и тактиките си, за да избегне откриване“, казва Symantec.

„Решението на групата да разшири обхвата си от атаки в точките на продажба до внедряване на ransomware демонстрира отдадеността на участниците в заплахата да максимизират печалбите си от организациите жертви.“

Източник: The Hacker News

Подобни публикации

18 септември 2024

D-Link обяви кръпки за множество уязвимости с к...

Тайванският производител на мрежов хардуер D-Link обяви в понеделни...
18 септември 2024

Tenable сподели подробности за метод за атака ч...

Tenable сподели подробности за метод за атака чрез объркване на зав...
18 септември 2024

Element Security излиза на сцената с решение CT...

Израелският стартъп Element Security наскоро излезе от скрит режим ...
18 септември 2024

BlackCloak набира 17 милиона долара за защита н...

Фирмата за киберсигурност и защита на личните данни BlackCloak обяв...
18 септември 2024

Китаец е използвал спиър фишинг, за да получи с...

В понеделник САЩ обявиха обвинения срещу китайски гражданин, за ког...
17 септември 2024

Скорошните уязвимости на WhatsUp Gold са използ...

Две критични уязвимости, поправени наскоро в продукта WhatsUp Gold ...
17 септември 2024

Тактики за скриване под радара на киберпрестъпн...

Киберсигурността е игра на котка и мишка, в която нападатели и защи...
Бъдете социални
Още по темата
18/09/2024

Tenable сподели подробности...

Tenable сподели подробности за метод за...
12/09/2024

Google въвежда хранилище с ...

Google вгради нова функция за съхранение...
12/09/2024

Против подигравките и "прес...

През 2017 г. написах статия, озаглавена...
Последно добавени
18/09/2024

D-Link обяви кръпки за множ...

Тайванският производител на мрежов хардуер D-Link...
18/09/2024

Tenable сподели подробности...

Tenable сподели подробности за метод за...
18/09/2024

Element Security излиза на ...

Израелският стартъп Element Security наскоро излезе...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!