Sardonic Backdoor
FIN8 網絡團伙帶著新的攻擊活動和新的惡意軟件威脅捲土重來。這個出於經濟動機的威脅行為者的最新受害者是一家美國金融組織,更具體地說是一家銀行。作為攻擊的一部分,FIN8 部署了一種以前未知的惡意軟件威脅,稱為 Sardonic。
FIN8 至少自 2016 年以來一直存在,並且在此期間在多個活躍期之間切換,然後是相對休眠。在不活動的情況下,黑客通常致力於更新和改進他們的威脅性武器庫。該組織針對來自大量不同行業的受害者,包括零售、醫療保健、娛樂、餐廳和酒店。 FIN8 的目標是從受害者的 POS 系統收集支付卡數據。
Sardonic 仍在開發中
儘管在針對選定目標的實時操作中使用,但 Sardonic 並不是一個完整的惡意軟件威脅,因為它帶有仍在積極開發中的跡象。這並不能阻止它成為一個強大的後門,能夠在受感染的系統上執行多項有害活動。
Sardonic 用 C++ 編寫,由幾個組件組成,這些組件似乎在攻擊前就已經編譯好了。作為最初的感染媒介,黑客很可能使用了社會工程策略和魚叉式網絡釣魚方法。這一猜想得到了以下事實的進一步支持:初始階段的加載程序——一個 PowerShell 腳本,似乎已被手動複製到被破壞的設備上。
在執行最終的 Sardonic 負載之前,攻擊鏈會經歷其他兩個階段,包括自動交付 .NET 加載程序和下載程序 shellcode。一旦在系統上建立,威脅就可以從設備獲取信息,執行任意命令,並通過插件系統部署額外的惡意軟件負載。
