FIN8 използва модифициран backdoor за атаки

Наблюдава се, че финансово мотивираната група , известна  като FIN8, използва „обновена“ версия на задна врата, наречена Sardonic, за да достави ransomware BlackCat.

Според екипа на Symantec Threat Hunter, част от Broadcom, разработката е опит от страна на групата за електронни престъпления да разнообрази фокуса си и да увеличи печалбите от заразени структури. Опитът за проникване е извършен през декември 2022 г.

FIN8 се проследява от компанията за киберсигурност под името Syssphinx. Известно е, че противникът е активен поне от 2016 г., като първоначално му се приписват атаки, насочени към системи за продажба в търговски обекти (PoS), използващи зловреден софтуер като PUNCHTRACK и BADHATCH.

Групата се появи отново след повече от година през март 2021 г. с актуализирана версия на BADHATCH, последвана от напълно нов имплант по поръчка, наречен Sardonic, който беше разкрит от Bitdefender през август 2021 г.

„Базираната на C++ задна вратичка Sardonic има възможност да събира системна информация и да изпълнява команди и разполага със система от плъгини, предназначена за зареждане и изпълнение на допълнителен полезен товар от злонамерен софтуер, доставен като DLL“, заяви Symantec в доклад, споделен с The Hacker News.

За разлика от предишния вариант, който беше разработен на C++, последната итерация съдържа значителни промени, като по-голямата част от изходния код е пренаписана на C и е модифицирана така, че умишлено да се избегнат прилики.

При инцидента, анализиран от Symantec, Sardonic е вграден в PowerShell скрипт, който е бил разположен в целевата система след получаване на първоначален достъп. Скриптът е проектиран така, че да стартира .NET loader, който след това декриптира и изпълнява модул инжектор, за да стартира в крайна сметка импланта.

„Целта на инжектора е да стартира задната врата в новосъздаден процес WmiPrvSE.exe“, обяснява Symantec. „При създаването на процеса WmiPrvSE.exe инжекторът се опитва да го стартира в сесия-0 (най-добро усилие), като използва токен, откраднат от процеса lsass.exe.“

Sardonic, освен че поддържа до 10 интерактивни сесии на заразения хост, в които заплахата да изпълнява злонамерени команди, поддържа три различни формата на плъгини за изпълнение на допълнителни DLL и shellcode.

Някои от другите функции на backdoor-а включват възможността за пускане на произволни файлове и екфилтриране на файловото съдържание от компрометираната машина към контролирана от извършителя инфраструктура.

Това не е първият случай, в който FIN8 е засечена да използва Sardonic във връзка с атака с откупващ софтуер. През януари 2022 г. Lodestone и Trend Micro разкриха използването от FIN8 на рансъмуера White Rabbit, който сам по себе си се основава на Sardonic.

„Syssphinx продължава да развива и подобрява възможностите си и инфраструктурата за доставка на зловреден софтуер, като периодично усъвършенства инструментите и тактиките си, за да избегне откриване“, казва Symantec.

„Решението на групата да разшири обхвата си от атаки в точките на продажба до внедряване на ransomware демонстрира отдадеността на участниците в заплахата да максимизират печалбите си от организациите жертви.“

Източник: The Hacker News

Подобни публикации

4 октомври 2023

Киберсигурността: ключов фактор за настоящето и...

Месецът за повишаване на осведомеността за киберсигурността се отбе...
4 октомври 2023

Моделите на PyTorch са уязвими за изпълнение на...

Изследователи в областта на киберсигурността са разкрили множество ...
4 октомври 2023

Qualcomm издава кръпка за 3 нови нулеви дни

Производителят на чипове Qualcomm пусна актуализации за сигурност, ...
4 октомври 2023

Над 3 дузини зловредни пакети npm са насочени к...

Според констатации на Fortinet FortiGuard Labs в хранилището за пак...
4 октомври 2023

Милиони мейл сървъри на Exim са изложени на zer...

Критична уязвимост от типа „нулев ден“ във всички верси...
3 октомври 2023

Cyber Security Talks Bulgaria – ОКТОМВРИ 2023

На 10.10.2023 г. във Висшето военноморско училище в гр. Варна ще се...
3 октомври 2023

ФБР предупреждава за ръст на измамите с "фантом...

ФБР публикува съобщение за обществена услуга, в което предупреждава...
3 октомври 2023

Новият ASMCrypt Malware Loader лети под радара

Киберпрестъпници продават нов софтуер за криптиране и зареждане, на...
Бъдете социални
Още по темата
04/10/2023

Милиони мейл сървъри на Exi...

Критична уязвимост от типа „нулев ден“...
03/10/2023

Новият ASMCrypt Malware Loa...

Киберпрестъпници продават нов софтуер за криптиране...
02/10/2023

Motel One призна нарушение ...

Групата Motel One обяви, че е...
Последно добавени
04/10/2023

Киберсигурността: ключов фа...

Месецът за повишаване на осведомеността за...
04/10/2023

Моделите на PyTorch са уязв...

Изследователи в областта на киберсигурността са...
04/10/2023

Qualcomm издава кръпка за 3...

Производителят на чипове Qualcomm пусна актуализации...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!