FIN8 küberkuritegevuse jõuk avab USA finantsorganisatsioonid uue pahavaraga
Rahaliselt motiveeritud küberkuritegude jõuk FIN8 on USA finantsorganisatsiooni võrgu tagaukse teinud uue pahavaraga, mille nimeks on Sardonic, ütleb Bitdefenderi uurimisrühm, kes pahavara esimesena märkas.
Sardoonia pahavara on võimeline koguma teavet ja täitma käske seadmetes, mis on ohustatud.
Küberluure aruannete kohaselt on FIN8 aktiivne alates 2016. aasta jaanuarist, kuna see on tuntud külalislahkuse-, restorani-, jaemüügi- ja tervishoiutööstuse sihiks, mille eesmärk on varastada kassasüsteemidest krediitkaardiandmeid. Jõuk on kasutanud erinevaid taktikaid, sealhulgas POS-i pahavara (nt BadHatch, PowerSniff, ShellTea ja palju muud), andmepüügi ja nullviivituse ärakasutamist.
Kasutatud FIN8 rünnaku anatoomia ja taktika. (Bitdefender)
Sardonic pahavara
FIN8 kasutas pahavara nimega Sardonic, uut C++-põhist tagaust, mis kasutati USA finantsorganisatsiooni süsteemis andmepüügi ja sotsiaalse manipuleerimise kaudu. Tagauks on alles väljatöötamisel ja sellel on järgmised funktsioonid:
- Süsteemi teabe kogumine
- Käskude täitmise võimalus ohustatud seadmetes
- Lisab pistikprogrammi, et käivitada täiendavaid pahavarakoormusi
Bitdefenderi ohtude uurimisrühma direktor Bogdan Botezatu ütles, et nad nägid, et FIN8 korraldas viimase paari kuu jooksul 2 rünnakut, ja ütles, et see oli „ ebatavaliselt kõrge tegevus ohus osaleja jaoks, kes pidas rünnakute vahel pikki pause. "
Uurimisrühma sõnul on Sardonic BadHatch Backdoori uus versioon, mida saab automaatselt uuendada uute funktsioonidega, ilma et oleks vaja pahavara ümber paigutada.
USA-taguse rünnaku edasine uurimine näitas, et tagauks kasutati sihtorganisatsioonide süsteemis kolmeetapilise protsessi osana, kasutades .NET-laadurit, PowerShelli skripti ja allalaadija shellkoodi.
Bitdefenderi uurimisrühm avastas ka, et PowerShelli skriptid kopeeriti käsitsi kahjustatud seadmetesse, samal ajal kui .NET-laadur tarniti seadmetesse automatiseeritud protsessi abil.
Bitdefender paljastas ka, et FIN8 proovis mitu korda saata Sardonic pahavara tagaust Windowsi kontrolleritele, et see läbi organisatsiooni võrgu liikuda.
Sardoonia pahavara tagaukse täitmisvoog (Bitdefender)
Finantsasutusi hoiatati potentsiaalsete sihtmärkidena
Finantsasutusi ja panku hoiatatakse, et nad peaksid olema valvel ja kontrollima regulaarselt oma võrke, et otsida FIN8 teadaolevaid indikaatoreid juhuks, kui nende süsteemid on juba ohus.
LogRythmi turvadirektori Matt Sandersi sõnul on viimased juhtumid osa järjestusest, kus kurjategijad on sihikule võtnud finantsasutused. Ta ütleb:
"Pangad ja muud finantsteenuste sektori ettevõtted on nende failides sisalduva tundliku teabe ja finantsandmete rohkuse tõttu küberrünnakute peamised sihtmärgid, eriti kuna suurem osa maailmast läks pandeemia ajal üle Interneti-pangandusele."
Lisaks rõhutas ta pankade haavatavust, öeldes, et finantsorganisatsioonid ja ettevõtted satuvad küberkurjategijate sihtmärgiks 300 korda tõenäolisemalt võrreldes teiste sektoritega. Üks suur oht on pahavara rünnakuvektorid.
Sanders ütles, et ettevõtted peavad olema ettevaatlikud ja võtma haavatavuste lahendamiseks küberjulgeolekule esmajoones turvalisuse. “
"Bitdefender soovitab ettevõtetel, kes tegutsevad sihtvertikaalides (jaemüük, hotellindus, rahandus) võimalike kompromisside suhtes, rakendades [IoC-sid] oma EDR-i, XDR-i ja muude turvakaitsemeetmete jaoks."
Bitdefender soovitas ka järgmisi ennetavaid meetmeid: