Наблюдава се, че финансово мотивираната група , известна като FIN8, използва „обновена“ версия на задна врата, наречена Sardonic, за да достави ransomware BlackCat.
Според екипа на Symantec Threat Hunter, част от Broadcom, разработката е опит от страна на групата за електронни престъпления да разнообрази фокуса си и да увеличи печалбите от заразени структури. Опитът за проникване е извършен през декември 2022 г.
FIN8 се проследява от компанията за киберсигурност под името Syssphinx. Известно е, че противникът е активен поне от 2016 г., като първоначално му се приписват атаки, насочени към системи за продажба в търговски обекти (PoS), използващи зловреден софтуер като PUNCHTRACK и BADHATCH.
Групата се появи отново след повече от година през март 2021 г. с актуализирана версия на BADHATCH, последвана от напълно нов имплант по поръчка, наречен Sardonic, който беше разкрит от Bitdefender през август 2021 г.
„Базираната на C++ задна вратичка Sardonic има възможност да събира системна информация и да изпълнява команди и разполага със система от плъгини, предназначена за зареждане и изпълнение на допълнителен полезен товар от злонамерен софтуер, доставен като DLL“, заяви Symantec в доклад, споделен с The Hacker News.
За разлика от предишния вариант, който беше разработен на C++, последната итерация съдържа значителни промени, като по-голямата част от изходния код е пренаписана на C и е модифицирана така, че умишлено да се избегнат прилики.
При инцидента, анализиран от Symantec, Sardonic е вграден в PowerShell скрипт, който е бил разположен в целевата система след получаване на първоначален достъп. Скриптът е проектиран така, че да стартира .NET loader, който след това декриптира и изпълнява модул инжектор, за да стартира в крайна сметка импланта.
„Целта на инжектора е да стартира задната врата в новосъздаден процес WmiPrvSE.exe“, обяснява Symantec. „При създаването на процеса WmiPrvSE.exe инжекторът се опитва да го стартира в сесия-0 (най-добро усилие), като използва токен, откраднат от процеса lsass.exe.“
Sardonic, освен че поддържа до 10 интерактивни сесии на заразения хост, в които заплахата да изпълнява злонамерени команди, поддържа три различни формата на плъгини за изпълнение на допълнителни DLL и shellcode.
Някои от другите функции на backdoor-а включват възможността за пускане на произволни файлове и екфилтриране на файловото съдържание от компрометираната машина към контролирана от извършителя инфраструктура.
Това не е първият случай, в който FIN8 е засечена да използва Sardonic във връзка с атака с откупващ софтуер. През януари 2022 г. Lodestone и Trend Micro разкриха използването от FIN8 на рансъмуера White Rabbit, който сам по себе си се основава на Sardonic.
„Syssphinx продължава да развива и подобрява възможностите си и инфраструктурата за доставка на зловреден софтуер, като периодично усъвършенства инструментите и тактиките си, за да избегне откриване“, казва Symantec.
„Решението на групата да разшири обхвата си от атаки в точките на продажба до внедряване на ransomware демонстрира отдадеността на участниците в заплахата да максимизират печалбите си от организациите жертви.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.