FIN8 koristi Sardonic varijantu zlonamjernog softvera
Sigurnosni istraživači su primijetili da grupa FIN8 koristi Sardonic varijantu zlonamjernog softvera za isporuku Black Cat ransomware-a, što predstavlja pokušaj ove grupe da proširi svoj fokus i pokuša da poveća svoj profit.
FIN8 koristi Sardonic varijantu zlonamjernog softvera; Source: Bing Image Creator
FIN8
FIN8 grupa (poznat još i kao Syssphinx) je aktivna od januara od 2016. godine. Grupa je finansijski motivisana i poznata po ciljanu organizacija koje se bave ugostiteljstvom, maloprodajom, osiguranjem, tehnologijom, hemijom i finansijama.
Grupa je poznata po korištenju taktike napada u kojem se koriste samo alati koji već postoje u okruženju potencijalne žrtve (eng. Living off the Land – LotL) kao što su PowerShell i WMI, kao i legitimnih servisa za sakrivanje svojih aktivnosti. Društveni inženjering i ciljano pecanje (eng. spear-phishing) su dvije od preferiranih metoda grupe za početni kompromis.
FIN8 grupa je takođe poznata po tome što pravi duže pauze između većih napada na korisnike kako bi unaprijedila svoje taktike, tehnike i procedure. Primjer toga je korištenje zlonamjernog softvera Badhatch 2019. godine, koji je ažuriran kasnije u decembru 2020. godine i januaru 2021. godine.
Nakon toga počinju koristiti novi backdoor u avgustu 2021. godine koji je dobio naziv Sardonic napisan u C++ programskoj jeziku sa mogućnostima prikupljanja informacija i izvršavanja komandi. Ovaj backdoor je uočenu u napadima u decembru 2022. godine kada se koristio za isporuku Black Cat ransomware-a, a koristio je iste tehnike napada uočene u napadima 2021. godine. Black Cat ransomware (poznat još i kao Noberus ili ALPHV) je upravljan od strane zlonamjerne grupe koja je nazvana Coreid (poznat još i kao Blackmatter ili Carbon Spider ili FIN7).
Novi Sardonic backdoor
U skorašnjim napadima ove grupe, primijećena je upotreba Sardonic backdoor zlonamjernog softvera koji se razliku od prethodnika, pošto isporučuje Black Cat ransomware i koristi potpuno prerađene backdoor.
Prerađena verzija Sardonic backdoor zlonamjernog softvera djeli brojne karakteristike sa verzijom baziranom na C programskom jeziku, međutim većina kôda je ponovo napisana, tako da nova verzija dobija novi izgled. Zanimljivo je da backdoor kôd više ne koristi standardnu C biblioteku i većina objektno orijentisanih karakteristika je zamijenjena običnom C implementacijom. Primjetno je da neke prerade izgledaju neprirodno, što sugeriše da bi primarni cilj zlonamjernog aktera mogao da bude izbjegavanje sličnosti sa prethodno otkrivenim detaljima.
Funkcionisanje
Prilikom napada, Sardonic backdoor koristi ugrađenu PowerShell skriptu koja se ubacuje u ciljani sistem nakon dobijanja početnog pristupa. Skripta pokreće .NET program za učitavanje koji zatim dešifruje i izvršava modul za ubacivanje da bi na kraju pokrenuo implant. Svrha modula za ubacivanje je da pokrene backdoor u novostvorenom procesu WmiPrvSE.exe, sa sesijom 0 koristeći token ukraden iz procesa lsass.exe.
Sardonic backdoor pored toga podržava do deset interaktivnih sesija na zaraženom uređaju kako bi zlonamjerni napadač mogao da pokrene zlonamjerne komande, uz podršku tri različita formata dodataka za izvršavanje dodatnih DLL datoteka i komandnog okruženja. Pored toga, tu je još i mogućnost ubacivanja proizvoljnih datoteka i preuzimanja sadržaja datoteka sa kompromitovanog uređaja na infrastrukturu pod kontrolom zlonamjernog aktera.
Zaštita
Kako bi se korisnici zaštitili od zlonamjernih napada FIN8 grupe, koji su u konstantnoj evoluciji, predlaže se implementacija strategija dubinske odbrane koja uključuje korištenje više slojeva alata za otkrivanje i zaštitu i uključivanje autentifikaciju u više koraka (MFA) i kontrole pristupa. Organizacije mogu da razmotre primjenu jednokratnih podatka za prijavu prilikom obavljanja administrativnih poslova kako bi spriječile krađu i zloupotrebu administrativnih korisničkih naloga.
Zaključak
FIN8 grupa stalno unapređuje svoje sposobnosti i infrastrukturu za isporuku zlonamjernog softvera uz često usavršavanje svojih tehnika kako bi izbjegli da budu otkriveni. Njihov nedavni prelazak sa napada na aparate za bezgotovinsko plaćanja prodajnom mjestu na softver za otkup (eng. ransomware) pokazuje njihovu posvećenost da ostvare maksimalni profit od svojih žrtava.
