Група кіберзлочинців FIN8 закриває фінансові організації США новим шкідливим програмним забезпеченням
FIN8, фінансово мотивована банда кіберзлочинців, закрила мережу американської фінансової організації новим шкідливим програмним забезпеченням під назвою Sardonic, каже дослідницька група Bitdefender, яка першою помітила зловмисне програмне забезпечення.
Зловмисне програмне забезпечення Sardonic здатне збирати інформацію та виконувати команди на зламаних пристроях.
Згідно зі звітами кіберрозвідки, FIN8 діє з січня 2016 року, оскільки відомий тим, що націлений на індустрію гостинності, ресторанів, роздрібної торгівлі та охорони здоров'я з метою крадіжки даних кредитних карток із POS-систем. Банда використовувала різні тактики, включаючи шкідливе програмне забезпечення для POS (наприклад, BadHatch, PowerSniff, ShellTea тощо), фішинг і експлойти з нульовою затримкою.
Анатомія та тактика атаки FIN8. (Bitdefender)
Зловмисне програмне забезпечення Sardonic
FIN8 використовував шкідливе програмне забезпечення під назвою Sardonic, новий бекдор на основі C++, який був розгорнутий у системі фінансової організації США за допомогою фішингу та соціальної інженерії. Бекдор все ще знаходиться на стадії розробки і має наступні функції:
- Інформація про систему збору врожаю
- Можливість виконання команд на зламаних пристроях
- Додає плагін для виконання подальших шкідливих програм
Богдан Ботезату, директор групи дослідження загроз Bitdefender, сказав, що вони бачили, як FIN8 здійснив 2 атаки за останні кілька місяців, і сказав, що це «незвично висока активність для суб’єкта загрози, який зазвичай робив великі перерви між атаками. "
Згідно з дослідницькою групою, Sardonic — це нова версія BadHatch Backdoor, яку можна автоматично оновлювати за допомогою нової функціональності без необхідності повторного розгортання шкідливого програмного забезпечення.
Подальше розслідування атаки на спину США показало, що бекдор було розгорнуто в системі цільових організацій як частина триетапного процесу з використанням завантажувача .NET, сценарію PowerShell і шелл-коду завантажувача.
Дослідницька група Bitdefender також виявила, що сценарії PowerShell були скопійовані вручну на зламані пристрої, а завантажувач .NET був доставлений на пристрої за допомогою автоматизованого процесу.
Bitdefender також показав, що FIN8 кілька разів намагався надати бекдор шкідливого програмного забезпечення Sardonic на контролери Windows для переміщення через мережу організації.
Потік виконання бекдора шкідливих програм Sardonic (Bitdefender)
Фінансові установи попереджені як потенційні цілі
Фінансові установи та банки попереджають про необхідність бути напоготові та регулярно перевіряти свої мережі, щоб шукати відомі показники FIN8 на випадок, якщо їхні системи вже зламані.
За словами Метта Сандерса, директора з безпеки LogRythm, останні інциденти є частиною послідовності, коли фінансові установи стають мішенню злочинців. Він каже:
«Банки та інші підприємства в індустрії фінансових послуг є головними мішенями для кібератак з великою кількістю конфіденційної інформації та фінансових даних, які містяться в їхніх файлах, особливо тому, що все більше людей у світі перейшли на онлайн-банкінг під час пандемії».
Він також наголосив на вразливості банків, сказавши, що фінансові організації та фірми в 300 разів частіше стають мішенню кіберзлочинців, ніж інші сектори. Однією з основних загроз є вектори атак зловмисного програмного забезпечення.
Сандерс сказав, що компаніям потрібно бути обережними і використовувати підхід до кібербезпеки «насамперед безпеку для усунення вразливостей». “
«Bitdefender рекомендує компаніям у цільових галузях (роздрібна торгівля, гостинність, фінанси) перевіряти потенційний компроміс, застосовуючи [IoC] до своїх EDR, XDR та інших засобів захисту».
Bitdefender також рекомендував деякі запобіжні заходи, такі як: