FIN8, ett ekonomiskt motiverat cyberbrottsgäng har backdoor en amerikansk finansorganisations nätverk med en ny skadlig programvara kallad Sardonic, säger Bitdefender-forskargruppen som upptäckte skadlig programvara först.
Sardonisk skadlig programvara kan samla in information och köra kommandon på enheter som är utsatta för intrång.
Enligt cyberintelligensrapporter har FIN8 varit aktiv sedan januari 2016, vilket är känt för att rikta sig mot hotell-, restaurang-, detaljhandels- och hälsovårdsindustrin med målet att stjäla kreditkortsdata från POS-system. Gänget har använt olika taktiker, inklusive POS-skadlig kod (t.ex. BadHatch, PowerSniff, ShellTea och mer), spear-phishing och noll-delay exploits.
FIN8 attackanatomi och taktik som används. (Bitdefender)
Sardonisk skadlig programvara
FIN8 använde en skadlig programvara kallad Sardonic, en ny C++-baserad bakdörr som distribuerades på en amerikansk finansorganisations system via spear-phishing och social ingenjörskonst. Bakdörren är fortfarande under utveckling och har följande funktionalitet:
- Skördesysteminformation
- Möjligheten att utföra kommandon på komprometterade enheter
- Lägger till ett plugin för att köra ytterligare skadlig programvara
Bogdan Botezatu, chef för Bitdefender-hotforskargruppen, sa att de såg FIN8 utföra 2 attacker under de senaste månaderna och sa att det var en " ovanligt hög aktivitet för en hotaktör som brukade ta långa pauser mellan attackerna. "
Enligt forskargruppen är Sardonic en ny version av BadHatch Backdoor, som automatiskt kan förnyas med ny funktionalitet utan att skadlig programvara behöver distribueras om.
Ytterligare undersökningar av attacken mot USA:s baksida avslöjade att bakdörren var utplacerad på målorganisationernas system som en del av en trestegsprocess med .NET-lastare, PowerShell-skript och nedladdningsskalkod.
Bitdefenders forskargrupp upptäckte också att PowerShell-skripten kopierades manuellt till de komprometterade enheterna, medan .NET-lastaren levererades till enheterna med hjälp av en automatiserad process.
Bitdefender avslöjade också att FIN8 försökte flera gånger leverera Sardonic skadliga bakdörr på Windows-kontroller för att flytta genom organisationens nätverk.
Exekveringsflöde av Sardonic malware backdoor (Bitdefender)
Finansiella institutioner varnade för potentiella mål
Finansiella institutioner och banker varnas för att vara i hög beredskap och kontrollera sina nätverk regelbundet för att leta efter kända FIN8-indikatorer ifall deras system redan är intrång.
Enligt Matt Sanders, säkerhetschef på LogRythm, är de senaste incidenterna en del av en sekvens där finansiella institutioner är måltavlor av kriminella. Han säger:
"Banker och andra företag inom finansbranschen är främsta mål för cyberattacker med överflöd av känslig information och finansiell information som finns i deras filer, särskilt när mer av världen övergick till onlinebanker under pandemin."
Han betonade vidare bankernas sårbarhet och sa att finansiella organisationer och företag löper 300 gånger större risk att bli utsatta för cyberbrottslingar jämfört med andra sektorer. Ett stort hot är attackvektorer för skadlig programvara.
Sanders sa att företag måste vara försiktiga och ta " säkerheten först när det gäller cybersäkerhet för att lösa sårbarheter. "
"Bitdefender rekommenderar att företag i målvertikaler (detaljhandel, gästfrihet, finans) letar efter potentiella kompromisser genom att tillämpa [IoCs] på deras EDR, XDR och andra säkerhetsförsvar."
Bitdefender rekommenderade också några proaktiva åtgärder enligt följande: