Sardonic Backdoor
FIN8 साइबरगैंग एक नए हमले अभियान और अपने शस्त्रागार में नए मैलवेयर खतरों के साथ वापस आ गया है। इस आर्थिक रूप से प्रेरित धमकी अभिनेता का नवीनतम शिकार एक अमेरिकी वित्तीय संगठन है, और विशेष रूप से एक बैंक है। हमले के हिस्से के रूप में, FIN8 ने पहले से अज्ञात मैलवेयर खतरे को सार्डोनिक करार दिया है।
FIN8 कम से कम 2016 के आसपास रहा है और उस अवधि में कई सक्रिय अवधियों के बीच स्विच किया गया है जिसके बाद सापेक्ष निष्क्रियता है। निष्क्रिय रहते हुए, हैकर्स आमतौर पर अपने खतरनाक शस्त्रागार को अद्यतन करने और सुधारने पर काम करते हैं। समूह ने खुदरा, स्वास्थ्य सेवा, मनोरंजन, रेस्तरां और आतिथ्य सहित विभिन्न उद्योग क्षेत्रों के एक बड़े समूह के पीड़ितों को लक्षित किया है। FIN8 का लक्ष्य पीड़ित के पीओएस सिस्टम से भुगतान कार्ड डेटा एकत्र करना है।
सार्डोनिक अभी भी विकास के अधीन है
चुने हुए लक्ष्य के खिलाफ लाइव ऑपरेशन में इस्तेमाल होने के बावजूद, सार्डोनिक पूरी तरह से पूर्ण मैलवेयर खतरा नहीं है, क्योंकि यह अभी भी सक्रिय विकास के तहत होने के संकेत देता है। यह इसे एक शक्तिशाली पिछले दरवाजे होने से नहीं रोकता है जो समझौता किए गए सिस्टम पर कई हानिकारक गतिविधियों को करने में सक्षम है।
सी ++ में लिखे गए, सार्डोनिक में कई घटक होते हैं जो हमले से ठीक पहले संकलित किए गए प्रतीत होते हैं। एक प्रारंभिक संक्रमण वेक्टर के रूप में, हैकर्स ने संभवतः सोशल-इंजीनियरिंग रणनीति और भाला-फ़िशिंग विधियों का उपयोग किया। इस अनुमान को इस तथ्य से भी समर्थन मिलता है कि प्रारंभिक चरण लोडर - एक पावरशेल स्क्रिप्ट, मैन्युअल रूप से भंग किए गए उपकरणों पर कॉपी की गई प्रतीत होती है।
अंतिम सार्डोनिक पेलोड निष्पादित होने से पहले, हमले की श्रृंखला अन्य दो चरणों से गुजरती है जिसमें .NET लोडर और डाउनलोडर शेलकोड की स्वचालित डिलीवरी शामिल होती है। एक बार सिस्टम पर स्थापित हो जाने पर, खतरा डिवाइस से जानकारी प्राप्त कर सकता है, मनमानी कमांड निष्पादित कर सकता है, और एक प्लगइन सिस्टम के माध्यम से अतिरिक्त मैलवेयर पेलोड को तैनात कर सकता है।
