Licenties voor meerdere apparaten (volumekortingen)

Veranderen van regio

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Threat Database Backdoors Sardonic Backdoor

Sardonic Backdoor

Tegen Mezo in Backdoors
Vertalen naar:
Nederlands

De FIN8-cyberbende is terug met een nieuwe aanvalscampagne en nieuwe malwarebedreigingen in zijn arsenaal. Het laatste slachtoffer van deze financieel gemotiveerde dreigingsactor is een Amerikaanse financiële organisatie, en meer specifiek een bank. Als onderdeel van de aanval heeft FIN8 een voorheen onbekende malwarebedreiging ingezet, Sardonic genaamd.

FIN8 bestaat al sinds 2016 en is in die periode gewisseld tussen meerdere actieve perioden gevolgd door relatieve rustperiode. Terwijl ze inactief zijn, werken de hackers meestal aan het updaten en verbeteren van hun arsenaal aan bedreigingen. De groep heeft zich gericht op slachtoffers uit een groot aantal verschillende industriële sectoren, waaronder detailhandel, gezondheidszorg, entertainment, restaurants en horeca. Het doel van FIN8 is om betaalkaartgegevens te verzamelen uit de kassasystemen van het slachtoffer.

Sardonic is nog in ontwikkeling

Ondanks dat het wordt gebruikt in een live-operatie tegen een gekozen doelwit, is Sardonic geen volledig voltooide malwarebedreiging, omdat het tekenen vertoont dat het nog in actieve ontwikkeling is. Dat weerhoudt het er niet van een krachtige achterdeur te zijn die in staat is om verschillende schadelijke activiteiten uit te voeren op de gecompromitteerde systemen.

Sardonic is geschreven in C++ en bestaat uit verschillende componenten die vlak voor de aanval lijken te zijn gecompileerd. Als eerste infectievector gebruikten de hackers hoogstwaarschijnlijk social engineering-tactieken en spear-phishing-methoden. Dit vermoeden wordt verder ondersteund door het feit dat de loader in de eerste fase - een PowerShell-script, handmatig naar de geschonden apparaten lijkt te zijn gekopieerd.

De aanvalsketen doorloopt vervolgens twee andere fasen, waarbij automatisch een .NET-lader en een downloader-shellcode worden afgeleverd, voordat de laatste Sardonic payload wordt uitgevoerd. Eenmaal op het systeem gevestigd, kan de dreiging informatie van het apparaat verkrijgen, willekeurige opdrachten uitvoeren en extra malware-payloads inzetten via een plug-insysteem.

Trending

Meest bekeken

Bezig met laden...