Sardonic Backdoor
FIN8 网络团伙带着新的攻击活动和新的恶意软件威胁卷土重来。这个出于经济动机的威胁行为者的最新受害者是一家美国金融组织,更具体地说是一家银行。作为攻击的一部分,FIN8 部署了一种以前未知的恶意软件威胁,称为 Sardonic。
FIN8 至少自 2016 年以来一直存在,并且在此期间在多个活跃期之间切换,然后是相对休眠。在不活动的情况下,黑客通常致力于更新和改进他们的威胁性武器库。该组织针对来自大量不同行业的受害者,包括零售、医疗保健、娱乐、餐厅和酒店。 FIN8 的目标是从受害者的 POS 系统收集支付卡数据。
Sardonic 仍在开发中
尽管在针对选定目标的实时操作中使用,但 Sardonic 并不是一个完整的恶意软件威胁,因为它带有仍在积极开发中的迹象。这并不能阻止它成为一个强大的后门,能够在受感染的系统上执行多项有害活动。
Sardonic 用 C++ 编写,由几个组件组成,这些组件似乎在攻击前就已经编译好了。作为最初的感染媒介,黑客很可能使用了社会工程策略和鱼叉式网络钓鱼方法。这一猜想得到了以下事实的进一步支持:初始阶段的加载程序——一个 PowerShell 脚本,似乎已被手动复制到被破坏的设备上。
在执行最终的 Sardonic 负载之前,攻击链会经历其他两个阶段,包括自动交付 .NET 加载程序和下载程序 shellcode。一旦在系统上建立,威胁就可以从设备获取信息,执行任意命令,并通过插件系统部署额外的恶意软件负载。
