FIN8 Cyberprzestępcze gangi włamują się do amerykańskich organizacji finansowych za pomocą nowego złośliwego oprogramowania
FIN8, motywowany finansowo gang cyberprzestępczy, włamał się do sieci amerykańskiej organizacji finansowej za pomocą nowego złośliwego oprogramowania o nazwie Sardonic, twierdzi zespół badawczy Bitdefender, który jako pierwszy zauważył to złośliwe oprogramowanie.
Złośliwe oprogramowanie Sardonic może zbierać informacje i wykonywać polecenia na zhakowanych urządzeniach.
Według raportów cyberinteligencji FIN8 działa od stycznia 2016 r. i jest znany z atakowania branży hotelarskiej, restauracyjnej, detalicznej i opieki zdrowotnej w celu kradzieży danych kart kredytowych z systemów POS. Gang stosował różne taktyki, w tym złośliwe oprogramowanie POS (np. BadHatch, PowerSniff, ShellTea i inne), spear-phishing i exploity z zerowym opóźnieniem.
Anatomia i taktyka ataku FIN8. (Bitdefender)
Sardoniczne złośliwe oprogramowanie
FIN8 użył złośliwego oprogramowania o nazwie Sardonic, nowego backdoora opartego na C++, który został wdrożony w systemie amerykańskiej organizacji finansowej za pomocą spear phishingu i socjotechniki. Backdoor jest wciąż w fazie rozwoju i ma następującą funkcjonalność:
- Zbieranie informacji o systemie
- Możliwość wykonywania poleceń na zhakowanych urządzeniach
- Dodaje wtyczkę do uruchamiania kolejnych ładunków złośliwego oprogramowania
Bogdan Botezatu, dyrektor zespołu badawczego Bitdefender ds. zagrożeń, powiedział, że widzieli, jak FIN8 przeprowadzał 2 ataki w ciągu ostatnich kilku miesięcy i powiedział, że była to „ niezwykle wysoka aktywność jak na cyberprzestępców, którzy robili długie przerwy między atakami. "
Według zespołu badawczego Sardonic to nowa wersja BadHatch Backdoor, która może być automatycznie ulepszana o nowe funkcje bez konieczności ponownego wdrażania złośliwego oprogramowania.
Dalsze dochodzenie w sprawie ataku na tyły USA ujawniło, że backdoor został wdrożony w systemie organizacji docelowej w ramach trzyetapowego procesu z wykorzystaniem programu ładującego .NET, skryptu PowerShell i szelkodu programu do pobierania.
Zespół badawczy Bitdefender odkrył również, że skrypty PowerShell zostały ręcznie skopiowane na zhakowane urządzenia, podczas gdy program ładujący .NET został dostarczony na urządzenia przy użyciu zautomatyzowanego procesu.
Bitdefender ujawnił również, że FIN8 wielokrotnie próbował dostarczyć backdoora złośliwego oprogramowania Sardonic na kontrolery Windows, aby poruszać się po sieci organizacji.
Przepływ wykonywania backdoora złośliwego oprogramowania Sardonic (Bitdefender)
Instytucje finansowe ostrzegane jako potencjalne cele
Instytucje finansowe i banki są ostrzegane, aby były w pogotowiu i regularnie sprawdzały swoje sieci w poszukiwaniu znanych wskaźników FIN8 na wypadek, gdyby ich systemy zostały już naruszone.
Według Matta Sandersa, dyrektora ds. bezpieczeństwa w LogRythm, najnowsze incydenty są częścią sekwencji ataków przestępców na instytucje finansowe. On mówi:
„Banki i inne firmy z branży usług finansowych są głównym celem cyberataków z mnóstwem poufnych informacji i danych finansowych zawartych w ich plikach, zwłaszcza że podczas pandemii większość świata przeszła na bankowość internetową".
Podkreślił ponadto podatność banków, twierdząc, że organizacje i firmy finansowe są 300 razy bardziej narażone na ataki cyberprzestępców w porównaniu z innymi sektorami. Jednym z głównych zagrożeń są wektory ataków złośliwego oprogramowania.
Sanders powiedział, że firmy muszą zachować ostrożność i przyjąć „ podejście do cyberbezpieczeństwa na pierwszym miejscu, aby rozwiązać luki w zabezpieczeniach”. “
„Bitdefender zaleca, aby firmy w docelowych branżach (handel detaliczny, hotelarstwo, finanse) sprawdzały potencjalny kompromis, stosując [IoCs] do ich EDR, XDR i innych zabezpieczeń”.
Bitdefender zalecił również kilka proaktywnych środków w następujący sposób: