FIN8, финансово мотивированная банда киберпреступников, взломала сеть финансовой организации США с помощью нового вредоносного ПО, получившего название Sardonic, сообщает исследовательская группа Bitdefender, которая первой обнаружила это вредоносное ПО.
Вредоносная программа Sardonic способна собирать информацию и выполнять команды на скомпрометированных устройствах.
Согласно отчетам киберразведки, FIN8 был активен с января 2016 года, поскольку известен тем, что нацелен на гостиничный бизнес, рестораны, розничную торговлю и здравоохранение с целью кражи данных кредитных карт из POS-систем. Банда использовала различные тактики, включая вредоносное ПО для POS-терминалов (например, BadHatch, PowerSniff, ShellTea и другие), целевой фишинг и эксплойты с нулевой задержкой.
Анатомия атаки FIN8 и используемая тактика. (Битдефендер)
Сардоническое вредоносное ПО
FIN8 использовал вредоносное ПО Sardonic, новый бэкдор на основе C++, который был развернут в системе американской финансовой организации с помощью целевого фишинга и социальной инженерии. Бэкдор все еще находится в разработке и имеет следующий функционал:
- Сбор информации о системе
- Возможность выполнения команд на скомпрометированных устройствах
- Добавляет плагин для выполнения дополнительных вредоносных программ.
Богдан Ботезату, директор исследовательской группы угроз Bitdefender, сказал, что они видели, как FIN8 провел 2 атаки за последние несколько месяцев, и сказал, что это была «необычно высокая активность для злоумышленника, который раньше делал длительные перерывы между атаками». "
По словам исследовательской группы, Sardonic — это новая версия бэкдора BadHatch, которая может быть автоматически обновлена с добавлением новых функций без необходимости повторного развертывания вредоносного ПО.
Дальнейшее расследование атаки в США показало, что бэкдор был развернут в системе целевых организаций в рамках трехэтапного процесса с использованием загрузчика .NET, скрипта PowerShell и шеллкода загрузчика.
Исследовательская группа Bitdefender также обнаружила, что сценарии PowerShell копировались вручную на скомпрометированные устройства, в то время как загрузчик .NET доставлялся на устройства с использованием автоматизированного процесса.
Bitdefender также сообщил, что FIN8 несколько раз пытался доставить вредоносный бэкдор Sardonic на контроллеры Windows для перемещения по сети организации.
Поток выполнения вредоносного бэкдора Sardonic (Bitdefender)
Финансовые учреждения предупреждены как потенциальные цели
Финансовые учреждения и банки предупреждены, чтобы они были в состоянии повышенной готовности и регулярно проверяли свои сети, чтобы найти известные индикаторы FIN8 в случае, если их системы уже скомпрометированы.
По словам Мэтта Сандерса, директора по безопасности LogRythm, последние инциденты являются частью цепочки, в которой преступники преследуют финансовые учреждения. Он говорит:
«Банки и другие предприятия в сфере финансовых услуг являются основными мишенями для кибератак с множеством конфиденциальной информации и финансовых данных, содержащихся в их файлах, особенно в связи с тем, что во время пандемии все больше людей в мире перешли на онлайн-банкинг».
Он также подчеркнул уязвимость банков, заявив, что финансовые организации и фирмы в 300 раз чаще становятся мишенью киберпреступников по сравнению с другими секторами. Одной из основных угроз являются векторы атаки вредоносных программ.
Сандерс сказал, что компаниям необходимо проявлять осторожность и использовать «безопасный подход к кибербезопасности для устранения уязвимостей». “
«Bitdefender рекомендует компаниям в целевых вертикалях (розничная торговля, гостиничный бизнес, финансы) проверять потенциальную компрометацию, применяя [IoC] к своим EDR, XDR и другим средствам защиты безопасности».
Bitdefender также рекомендовал следующие упреждающие меры: