FIN8 Cybercrime Gang hinterhält US-Finanzorganisationen mit einer neuen Malware
FIN8, eine finanziell motivierte Cyberkriminalitätsbande, hat das Netzwerk einer US-Finanzorganisation mit einer neuen Malware namens Sardonic hintertürt, sagt das Bitdefender-Forschungsteam, das die Malware zuerst entdeckt hat.
Sardonic-Malware ist in der Lage, Informationen zu sammeln und Befehle auf den kompromittierten Geräten auszuführen.
Laut Cyber-Intelligence-Berichten ist FIN8 seit Januar 2016 aktiv, da bekannt ist, dass es auf das Gastgewerbe, die Gastronomie, den Einzelhandel und das Gesundheitswesen abzielt, mit dem Ziel , Kreditkartendaten von POS-Systemen zu stehlen. Die Bande hat verschiedene Taktiken verwendet, darunter POS-Malware (z. B. BadHatch, PowerSniff, ShellTea und mehr), Spear-Phishing und Zero-Delay-Exploits.
Anatomie und Taktik des FIN8-Angriffs. (Bitdefender)
Sardonische Malware
FIN8 verwendete eine Malware namens Sardonic, eine neue C++-basierte Hintertür, die über Spear-Phishing und Social Engineering auf dem System einer US-Finanzorganisation eingesetzthttps://vpn.inform.click/de/beste-kostenlose-vpns-fuer-fire-stick-getestet-2021/ wurde. Die Backdoor befindet sich noch in der Entwicklung und hat folgende Funktionalität:
- Sammeln von Systeminformationen
- Die Fähigkeit zur Befehlsausführung auf kompromittierten Geräten
- Fügt ein Plugin hinzu, um weitere Malware-Payloads auszuführen
Bogdan Botezatu, Direktor des Bitdefender-Bedrohungsforschungsteams, sagte, dass FIN8 in den letzten Monaten zwei Angriffe durchgeführt habe, und sagte, es sei eine „ ungewöhnlich hohe Aktivität für einen Bedrohungsakteur, der lange Pausen zwischen den Angriffen einlegte. "
Laut dem Forschungsteam ist Sardonic eine neue Version von BadHatch Backdoor, die automatisch mit neuen Funktionen überarbeitet werden kann, ohne dass die Malware erneut bereitgestellt werden muss.
Weitere Untersuchungen des Angriffs auf den Rücken der USA ergaben, dass die Hintertür im Rahmen eines dreistufigen Prozesses unter Verwendung von .NET-Loader, PowerShell-Skript und Downloader-Shellcode auf dem System der Zielorganisation installiert wurde .
Das Forschungsteam von Bitdefender entdeckte auch, dass die PowerShell-Skripte manuell auf die kompromittierten Geräte kopiert wurden, während der .NET-Loader mithilfe eines automatisierten Prozesses auf die Geräte übertragen wurde.
Bitdefender enthüllte auch, dass FIN8 mehrfach versucht hat, die Hintertür der Sardonic-Malware auf Windows-Controller zu übertragen, um sich durch das Netzwerk der Organisation zu bewegen.
Ausführungsablauf der Sardonic-Malware-Hintertür (Bitdefender)
Finanzinstitute als potenzielle Ziele gewarnt
Finanzinstitute und Banken werden gewarnt, in höchster Alarmbereitschaft zu sein und ihre Netzwerke regelmäßig zu überprüfen, um nach bekannten FIN8-Indikatoren zu suchen, falls ihre Systeme bereits kompromittiert sind.
Laut Matt Sanders, Director of Security bei LogRythm, sind die jüngsten Vorfälle Teil einer Sequenz, in der Finanzinstitute von Kriminellen angegriffen werden. Er sagt:
„Banken und andere Unternehmen der Finanzdienstleistungsbranche sind aufgrund der Fülle sensibler Informationen und Finanzdaten, die in ihren Dateien enthalten sind, Hauptziele für Cyberangriffe, insbesondere da ein Großteil der Welt während der Pandemie auf Online-Banking umgestellt hat.“
Er betonte weiter die Anfälligkeit von Banken und sagte, dass Finanzorganisationen und -firmen im Vergleich zu anderen Sektoren mit 300-mal höherer Wahrscheinlichkeit von Cyberkriminellen angegriffen werden. Eine große Bedrohung sind Malware-Angriffsvektoren.
Sanders sagte, dass Unternehmen vorsichtig sein und bei der Cybersicherheit einen „sicherheitsorientierten Ansatz“ verfolgen müssen, um Schwachstellen zu beheben. „
„Bitdefender empfiehlt Unternehmen in den Zielbranchen (Einzelhandel, Gastgewerbe, Finanzen), auf potenzielle Kompromittierungen zu prüfen, indem sie [die IoCs] auf ihre EDR-, XDR- und andere Sicherheitsmaßnahmen anwenden.“
Bitdefender empfahl auch einige proaktive Maßnahmen wie folgt: