Sardonic Backdoor

Cybergang FIN8 powraca z nową kampanią ataków i nowymi zagrożeniami w postaci złośliwego oprogramowania w swoim arsenale. Najnowszą ofiarą tego motywowanego finansowo cyberprzestępcy jest amerykańska organizacja finansowa, a dokładniej bank. W ramach ataku FIN8 wdrożył nieznane wcześniej zagrożenie złośliwym oprogramowaniem o nazwie Sardonic.

FIN8 istnieje od co najmniej 2016 roku i w tym okresie przechodził między wieloma aktywnymi okresami, po których następował względny stan uśpienia. Nieaktywni hakerzy zwykle pracują nad aktualizacją i ulepszeniem swojego groźnego arsenału. Grupa atakowała ofiary z wielu różnych sektorów przemysłu, w tym handlu detalicznego, opieki zdrowotnej, rozrywki, restauracji i hotelarstwa. Celem FIN8 jest zbieranie danych kart płatniczych z systemów POS ofiary.

Sardon jest wciąż w fazie rozwoju

Pomimo użycia w operacji na żywo przeciwko wybranemu celowi, Sardonic nie jest w pełni kompletnym zagrożeniem złośliwym oprogramowaniem, ponieważ nosi oznaki, że nadal jest aktywnie rozwijany. To nie powstrzymuje go od bycia potężnym backdoorem zdolnym do wykonywania kilku szkodliwych działań na zaatakowanych systemach.

Napisany w C++, Sardonic składa się z kilku komponentów, które wydają się być skompilowane tuż przed atakiem. Jako początkowy wektor infekcji hakerzy najprawdopodobniej wykorzystali taktyki socjotechniczne i metody spear-phishingu. To przypuszczenie jest dodatkowo wspierane przez fakt, że program ładujący na początkowym etapie - skrypt PowerShell, wydaje się być ręcznie kopiowany do złamanych urządzeń.

Łańcuch ataków przechodzi następnie przez dwie pozostałe fazy, w tym automatyczne dostarczanie programu ładującego .NET i kodu powłoki programu do pobierania, przed wykonaniem ostatecznego ładunku Sardonic. Po umieszczeniu w systemie zagrożenie może uzyskiwać informacje z urządzenia, wykonywać dowolne polecenia i wdrażać dodatkowe ładunki złośliwego oprogramowania za pośrednictwem systemu wtyczek.