Наблюдава се, че финансово мотивираната група , известна  като FIN8, използва „обновена“ версия на задна врата, наречена Sardonic, за да достави ransomware BlackCat.

Според екипа на Symantec Threat Hunter, част от Broadcom, разработката е опит от страна на групата за електронни престъпления да разнообрази фокуса си и да увеличи печалбите от заразени структури. Опитът за проникване е извършен през декември 2022 г.

FIN8 се проследява от компанията за киберсигурност под името Syssphinx. Известно е, че противникът е активен поне от 2016 г., като първоначално му се приписват атаки, насочени към системи за продажба в търговски обекти (PoS), използващи зловреден софтуер като PUNCHTRACK и BADHATCH.

Групата се появи отново след повече от година през март 2021 г. с актуализирана версия на BADHATCH, последвана от напълно нов имплант по поръчка, наречен Sardonic, който беше разкрит от Bitdefender през август 2021 г.

„Базираната на C++ задна вратичка Sardonic има възможност да събира системна информация и да изпълнява команди и разполага със система от плъгини, предназначена за зареждане и изпълнение на допълнителен полезен товар от злонамерен софтуер, доставен като DLL“, заяви Symantec в доклад, споделен с The Hacker News.

За разлика от предишния вариант, който беше разработен на C++, последната итерация съдържа значителни промени, като по-голямата част от изходния код е пренаписана на C и е модифицирана така, че умишлено да се избегнат прилики.

При инцидента, анализиран от Symantec, Sardonic е вграден в PowerShell скрипт, който е бил разположен в целевата система след получаване на първоначален достъп. Скриптът е проектиран така, че да стартира .NET loader, който след това декриптира и изпълнява модул инжектор, за да стартира в крайна сметка импланта.

„Целта на инжектора е да стартира задната врата в новосъздаден процес WmiPrvSE.exe“, обяснява Symantec. „При създаването на процеса WmiPrvSE.exe инжекторът се опитва да го стартира в сесия-0 (най-добро усилие), като използва токен, откраднат от процеса lsass.exe.“

Sardonic, освен че поддържа до 10 интерактивни сесии на заразения хост, в които заплахата да изпълнява злонамерени команди, поддържа три различни формата на плъгини за изпълнение на допълнителни DLL и shellcode.

Някои от другите функции на backdoor-а включват възможността за пускане на произволни файлове и екфилтриране на файловото съдържание от компрометираната машина към контролирана от извършителя инфраструктура.

Това не е първият случай, в който FIN8 е засечена да използва Sardonic във връзка с атака с откупващ софтуер. През януари 2022 г. Lodestone и Trend Micro разкриха използването от FIN8 на рансъмуера White Rabbit, който сам по себе си се основава на Sardonic.

„Syssphinx продължава да развива и подобрява възможностите си и инфраструктурата за доставка на зловреден софтуер, като периодично усъвършенства инструментите и тактиките си, за да избегне откриване“, казва Symantec.

„Решението на групата да разшири обхвата си от атаки в точките на продажба до внедряване на ransomware демонстрира отдадеността на участниците в заплахата да максимизират печалбите си от организациите жертви.“

Източник: The Hacker News

Подобни публикации

22 май 2025

Руската хакерска група APT28 шпионира междунаро...

Мащабна кибершпионска кампания, провеждана от подкрепяната от руска...
22 май 2025

Русия въвежда задължително приложение за просле...

В началото на май 2025 г. руското правителство обяви ново законодат...
22 май 2025

3 a.m. рансъмуер: нова вълна от таргетирани ат...

През първото тримесечие на 2025 г. специалисти по киберсигурност от...
22 май 2025

Mеждународна операция унищожи инфраструктурата ...

Microsoft, правоприлагащи органи и водещи технологични компании с к...
22 май 2025

ЕС наложи санкции на Stark Industries заради ру...

Европейският съюз официално наложи строги санкции на хостинг достав...
21 май 2025

M&S очаква загуби от над £300 милиона след ...

Британската търговска верига Marks & Spencer (M&S) се изпра...
21 май 2025

19-годишен студент се призна за виновен за атак...

Американският департамент по правосъдието (DOJ) обяви, че 19-годишн...
21 май 2025

Cellcom потвърди: Кибератака стои зад масовия с...

След дни на мълчание, компанията разкри, че нарушението е било резу...
Бъдете социални
Още по темата
21/05/2025

M&S очаква загуби от на...

Британската търговска верига Marks & Spencer...
21/05/2025

Cellcom потвърди: Кибератак...

След дни на мълчание, компанията разкри,...
20/05/2025

Кибератака срещу официалния...

Официалните уебсайтове на популярния инструмент за...
Последно добавени
22/05/2025

Руската хакерска група APT2...

Мащабна кибершпионска кампания, провеждана от подкрепяната...
22/05/2025

Русия въвежда задължително ...

В началото на май 2025 г....
22/05/2025

3 a.m. рансъмуер: нова въл...

През първото тримесечие на 2025 г....
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!