FIN8 Cybercrime Gang takaovet Yhdysvaltain rahoitusorganisaatioille uudella haittaohjelmalla
Taloudellisesti motivoitunut kyberrikollisjengi FIN8 on takaovennut yhdysvaltalaisen finanssiorganisaation verkostoon uudella Sardonic-haittaohjelmalla, kertoo haittaohjelman ensimmäisenä havainnut Bitdefender-tutkimusryhmä.
Sardonic-haittaohjelmat pystyvät keräämään tietoa ja suorittamaan komentoja laitteissa, jotka ovat vaarantuneet.
Kybertiedustelun raporttien mukaan FIN8 on ollut aktiivinen tammikuusta 2016 lähtien, ja se tunnetaan kohdistamisestaan hotelli-, ravintola-, vähittäiskauppa- ja terveydenhuoltoalalle tavoitteenaan varastaa luottokorttitietoja kassajärjestelmistä. Joukko on käyttänyt erilaisia taktiikoita, kuten POS-haittaohjelmia (esim. BadHatch, PowerSniff, ShellTea ja paljon muuta), keihäänkalastelua ja nollaviiveen hyväksikäyttöä.
FIN8:n hyökkäysanatomia ja taktiikka käytetty. (Bitdefender)
Sardonic-haittaohjelma
FIN8 käytti Sardonic-nimistä haittaohjelmaa, uutta C++-pohjaista takaovea, joka otettiin käyttöön yhdysvaltalaisen rahoitusorganisaation järjestelmään keihäs-phishingin ja sosiaalisen manipuloinnin avulla. Takaovea kehitetään edelleen ja siinä on seuraavat toiminnot:
- Järjestelmätietojen kerääminen
- Kyky suorittaa komentoja vaarantuneissa laitteissa
- Lisää laajennuksen suorittamaan lisää haittaohjelmia
Bitdefenderin uhkatutkimusryhmän johtaja Bogdan Botezatu kertoi nähneensä FIN8:n suorittaneen 2 hyökkäystä viimeisten kuukausien aikana ja sanoi, että se oli " epätavallisen korkea aktiivisuus uhkatoimijalle, joka piti pitkiä taukoja hyökkäysten välillä. "
Tutkimusryhmän mukaan Sardonic on uusi versio BadHatch Backdoorista, joka voidaan päivittää automaattisesti uusilla toiminnoilla ilman, että haittaohjelmia tarvitsee asentaa uudelleen.
Lisätutkinta Yhdysvaltojen selkää vastaan tehdystä hyökkäyksestä paljasti, että takaovi käytettiin kohdeorganisaatioiden järjestelmään osana kolmivaiheista prosessia käyttäen .NET-latainta, PowerShell-skriptiä ja latausohjelman kuorikoodia.
Bitdefenderin tutkimusryhmä havaitsi myös, että PowerShell-komentosarjat kopioitiin käsin vaarantuneille laitteille, kun taas .NET-latausohjelma toimitettiin laitteille automaattisen prosessin avulla.
Bitdefender paljasti myös, että FIN8 yritti useita kertoja toimittaa Sardonic-haittaohjelmien takaoven Windows-ohjaimiin liikkuakseen organisaation verkon läpi.
Sardonilaisten haittaohjelmien takaoven suoritusvirta (Bitdefender)
Rahoituslaitoksia varoitettiin mahdollisina kohteina
Rahoituslaitoksia ja pankkeja kehotetaan olemaan valppaana ja tarkistamaan verkkonsa säännöllisesti etsiäkseen FIN8:n tunnettuja indikaattoreita siltä varalta, että niiden järjestelmät ovat jo vaarantuneet.
LogRythmin turvallisuusjohtaja Matt Sandersin mukaan viimeisimmät tapaukset ovat osa sarjaa, jossa rikolliset joutuvat rahoituslaitosten kohteeksi. Hän sanoo:
"Pankit ja muut rahoituspalvelualan yritykset ovat ensisijaisia kohteita kyberhyökkäyksille, koska niiden tiedostoissa on lukuisia arkaluontoisia tietoja ja taloudellisia tietoja, varsinkin kun yhä suurempi osa maailmasta on siirtynyt verkkopankkiin pandemian aikana."
Hän korosti edelleen pankkien haavoittuvuutta sanomalla, että rahoitusorganisaatiot ja -yritykset ovat 300 kertaa todennäköisemmin kyberrikollisten kohteena kuin muut sektorit. Yksi suuri uhka on haittaohjelmien hyökkäysvektorit.
Sanders sanoi, että yritysten on oltava varovaisia ja otettava " turvallisuus etusijalla lähestymistapa kyberturvallisuuteen haavoittuvuuksien ratkaisemiseksi". "
"Bitdefender suosittelee, että kohdetoimialoilla (vähittäiskauppa, vieraanvaraisuus, rahoitus) toimivat yritykset tarkistavat mahdolliset kompromissit soveltamalla [IoC:itä] EDR-, XDR- ja muihin suojaustoimiinsa."
Bitdefender suositteli myös joitain ennakoivia toimenpiteitä seuraavasti: