Sardonic Backdoor

FIN8 -cybergangen er tilbage med en ny angrebskampagne og nye malware -trusler i sit arsenal. Det seneste offer for denne økonomisk motiverede trusselsaktør er en amerikansk finansiel organisation, og mere specifikt en bank. Som en del af angrebet har FIN8 implementeret en tidligere ukendt malware -trussel kaldet Sardonic.

FIN8 har eksisteret siden mindst 2016 og har i den periode skiftet mellem flere aktive perioder efterfulgt af relativ hviletid. Mens de er inaktive, arbejder hackerne normalt med at opdatere og forbedre deres truende arsenal. Gruppen har målrettet ofre fra et stort sæt forskellige branchesektorer, herunder detailhandel, sundhedspleje, underholdning, restaurant og gæstfrihed. FIN8's mål er at indsamle betalingskortdata fra offerets kassesystemer.

Sardonic er stadig under udvikling

På trods af at den blev brugt i en live -operation mod et valgt mål, er Sardonic ikke en fuldstændig udført malware -trussel, da den bærer tegn på stadig at være under aktiv udvikling. Det forhindrer det ikke i at være en potent bagdør, der er i stand til at udføre flere skadelige aktiviteter på de kompromitterede systemer.

Skrevet i C ++ består Sardonic af flere komponenter, der ser ud til at være blevet samlet lige før angrebet. Som en første infektionsvektor brugte hackerne sandsynligvis social-engineering taktik og spyd-phishing-metoder. Denne formodning understøttes yderligere af det faktum, at den indledende etape loader - et PowerShell -script, ser ud til at være blevet kopieret til de brudte enheder manuelt.

Angrebskæden gennemgår derefter andre to faser, der involverer automatisk levering af en .NET -loader og downloader -shellkode, før den endelige Sardonic nyttelast udføres. Når truslen er etableret på systemet, kan den hente oplysninger fra enheden, udføre vilkårlige kommandoer og implementere yderligere malware nyttelast via et pluginsystem.