Киберпреступная банда FIN8 атакует организации США новым вредоносным ПО Sardonic

27
Телефонные услуги VoIP.ms прерваны DDoS-атакой с вымогательством

Финансово мотивированная банда киберпреступников взломала и заблокировала сеть финансовой организации США с помощью нового вредоносного ПО, получившего название Sardonic от исследователей Bitdefender, которые первыми его заметили.

FIN8, исполнитель угрозы, стоящий за этим инцидентом, был активен по крайней мере с января 2016 года и известен своей нацеленностью на розничную торговлю, ресторан, гостиничный бизнес, здравоохранение и развлечения с конечной целью кражи данных платежных карт из POS-систем.

Злонамеренный арсенал Этой угрозы актера включает в себя широкий ассортимент инструментов и тактики, начиная от POS вредоносных программ (например, BadHatch, PoSlurp/PunchTrack, PowerSniff/PunchBuggy/ ShellTea) для ОС Windows нулевого дня подвигов и копья-фишинга.

С тех пор, как FireEye впервые обнаружил их, FIN8 организовал несколько крупномасштабных, но спорадических кампаний , затронувших сотни организаций .

Бэкдор все еще находится в разработке

Sardonic – это новый бэкдор на основе C ++, который злоумышленники FIN8 развертывают в системах целей, вероятно, с помощью социальной инженерии или целевого фишинга, двух излюбленных методов атак группы.

Пока вредоносная программа все еще находится в стадии разработки, ее функциональные возможности включают:

  • Сбор системной информации.
  • Выполнение команд на взломанных устройствах.
  • И система плагинов, предназначенная для загрузки и выполнения дополнительных вредоносных программ, поставляемых в виде библиотек DLL.

Во время атаки на банк США бэкдор был развернут и запущен в системах жертв как часть трехэтапного процесса с использованием сценария PowerShell, загрузчика .NET и шелл-кода загрузчика.

Сценарий PowerShell вручную копируется на скомпрометированные системы, а загрузчики доставляются на скомпрометированные устройства с помощью автоматизированного процесса.

Операторы FIN8 также несколько раз пытались установить бэкдор Sardonic на контроллеры домена Windows для повышения привилегий и горизонтального перемещения по сети организации.

Потенциальные цели предупреждены

Bitdefender призывает организации, подверженные риску стать мишенью FIN8 (в первую очередь, финансовые, розничные и гостиничные организации), быть начеку и проверять свои сети на предмет известных индикаторов компрометации FIN8.

«FIN8 продолжает укреплять свои возможности и инфраструктуру доставки вредоносного ПО. Известно, что высококвалифицированный субъект финансовых угроз делает длительные перерывы, чтобы усовершенствовать инструменты и тактику, чтобы избежать обнаружения, прежде чем он поразит жизнеспособные цели», – заключили исследователи Cyber ​​Threat Intelligence Lab.

«Bitdefender рекомендует компаниям в целевых вертикалях (розничная торговля, гостиничный бизнес, финансы) проверять наличие потенциального компромисса, применяя [IoC] к своим EDR, XDR и другим средствам защиты».

Дополнительные сведения о внутренней работе Sardonic и индикаторах взлома (IOC), включая информацию об инфраструктуре и хэши вредоносных программ, можно найти в конце официального документа Bitdefender.

 

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here