Sardonic Backdoor

FIN8 -cybergången är tillbaka med en ny attackkampanj och nya hot mot skadlig kod i sin arsenal. Det senaste offret för denna ekonomiskt motiverade hotaktör är en amerikansk finansorganisation, och närmare bestämt en bank. Som en del av attacken har FIN8 distribuerat ett tidigare okänt hot mot skadlig kod som kallas Sardonic.

FIN8 har funnits sedan minst 2016 och har under den perioden växlat mellan flera aktiva perioder följt av relativ viloläge. Även om de är inaktiva arbetar hackarna vanligtvis med att uppdatera och förbättra sin hotfulla arsenal. Gruppen har riktat offer från en stor uppsättning olika industrisektorer, inklusive detaljhandel, sjukvård, underhållning, restaurang och gästfrihet. FIN8: s mål är att samla in betalkortsdata från offrets kassasystem.

Sardonic är fortfarande under utveckling

Trots att den används i en live -operation mot ett valt mål, är Sardonic inte ett fullständigt hot mot skadlig kod, eftersom det bär tecken på att fortfarande vara under aktiv utveckling. Det hindrar inte det från att vara en potent bakdörr som kan utföra flera skadliga aktiviteter på de komprometterade systemen.

Skrivet i C ++ består Sardonic av flera komponenter som verkar ha sammanställts strax före attacken. Som en första infektionsvektor använde hackarna troligtvis socialteknisk taktik och metoder för sprutfiske. Denna gissning stöds vidare av det faktum att laddaren i första steget - ett PowerShell -skript, verkar ha kopierats till de kränkta enheterna manuellt.

Attackkedjan går sedan igenom andra två faser som involverar automatisk leverans av en .NET -lastare och nedladdningsskalskal innan den sista sardoniska nyttolasten körs. När hotet väl är etablerat i systemet kan det hämta information från enheten, utföra godtyckliga kommandon och distribuera ytterligare nyttolaster för skadlig kod via ett pluginsystem.