Sardonic Backdoor

FIN8 siber çetesi, cephaneliğinde yeni bir saldırı kampanyası ve yeni kötü amaçlı yazılım tehditleriyle geri döndü. Mali güdümlü bu tehdit aktörünün en son kurbanı bir ABD finans kuruluşu ve daha özel olarak bir bankadır. Saldırının bir parçası olarak FIN8, Sardonic adlı önceden bilinmeyen bir kötü amaçlı yazılım tehdidini devreye soktu.

FIN8, en az 2016'dan beri var ve bu süre içinde birden fazla aktif dönem arasında geçiş yaptı ve ardından göreceli uyku hali geldi. Aktif değilken, bilgisayar korsanları genellikle tehdit edici cephaneliklerini güncellemek ve geliştirmek için çalışırlar. Grup, perakende, sağlık, eğlence, restoran ve konaklama dahil olmak üzere çok sayıda farklı sektördeki kurbanları hedef aldı. FIN8'in amacı, kurbanın POS sistemlerinden ödeme kartı verilerini toplamaktır.

Sardonic Hala Geliştirme Aşamasında

Seçilen bir hedefe karşı canlı bir operasyonda kullanılmasına rağmen, Sardonic, halen aktif olarak geliştirilme aşamasında olduğuna dair işaretler taşıdığı için, tam olarak tamamlanmış bir kötü amaçlı yazılım tehdidi değildir. Bu, güvenliği ihlal edilmiş sistemler üzerinde çeşitli zararlı faaliyetler gerçekleştirebilen güçlü bir arka kapı olmasını engellemez.

C++ ile yazılan Sardonic, saldırıdan hemen önce derlenmiş gibi görünen birkaç bileşenden oluşur. İlk enfeksiyon vektörü olarak, bilgisayar korsanları büyük olasılıkla sosyal mühendislik taktiklerini ve hedefli kimlik avı yöntemlerini kullandılar. Bu varsayım, bir PowerShell betiği olan ilk aşama yükleyicinin, ihlal edilen cihazlara manuel olarak kopyalanmış gibi görünmesi gerçeğiyle daha da desteklenmektedir.

Saldırı zinciri daha sonra, son Sardonic yükü yürütülmeden önce bir .NET yükleyici ve indirici kabuk kodunun otomatik olarak teslim edilmesini içeren diğer iki aşamadan geçer. Sisteme yerleştirildikten sonra tehdit, cihazdan bilgi alabilir, keyfi komutlar yürütebilir ve bir eklenti sistemi aracılığıyla ek kötü amaçlı yazılım yükleri dağıtabilir.