{"id":5112,"date":"2023-07-22T15:20:34","date_gmt":"2023-07-22T13:20:34","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5112"},"modified":"2023-07-22T15:24:29","modified_gmt":"2023-07-22T13:24:29","slug":"fin8-koristi-sardonic-varijantu-zlonamjernog-softvera","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/07\/22\/fin8-koristi-sardonic-varijantu-zlonamjernog-softvera\/","title":{"rendered":"FIN8 koristi Sardonic varijantu zlonamjernog softvera"},"content":{"rendered":"

Sigurnosni istra\u017eiva\u010di su primijetili<\/a> da grupa FIN8<\/em> koristi Sardonic<\/em> varijantu zlonamjernog softvera<\/a> za isporuku Black Cat ransomware<\/em>-a, \u0161to predstavlja poku\u0161aj ove grupe da pro\u0161iri svoj fokus i poku\u0161a da pove\u0107a svoj profit.<\/span><\/p>\n

\"Sardonic

FIN8 koristi Sardonic varijantu zlonamjernog softvera; Source: Bing Image Creator<\/em><\/p><\/div>\n

FIN8<\/strong><\/span><\/em><\/h2>\n

FIN8 grupa (poznat jo\u0161 i kao Syssphinx<\/em>) je aktivna od januara od 2016. godine. Grupa je finansijski motivisana i poznata po ciljanu organizacija koje se bave ugostiteljstvom, maloprodajom, osiguranjem, tehnologijom, hemijom i finansijama.<\/span><\/p>\n

Grupa je poznata po kori\u0161tenju taktike napada u kojem se koriste samo alati koji ve\u0107 postoje u okru\u017eenju potencijalne \u017ertve (eng. Living off the Land \u2013 LotL<\/em>) kao \u0161to su PowerShell<\/em> i WMI<\/em>, kao i legitimnih servisa za sakrivanje svojih aktivnosti. Dru\u0161tveni in\u017eenjering i ciljano pecanje<\/a> (eng. spear-phishing<\/em>) su dvije od preferiranih metoda grupe za po\u010detni kompromis.<\/span><\/p>\n

FIN8<\/em> grupa je tako\u0111e poznata po tome \u0161to pravi du\u017ee pauze izme\u0111u ve\u0107ih napada na korisnike kako bi unaprijedila svoje taktike, tehnike i procedure. Primjer toga je kori\u0161tenje zlonamjernog softvera Badhatch<\/em> 2019. godine, koji je a\u017euriran kasnije u decembru 2020. godine i januaru 2021. godine.<\/span><\/p>\n

Nakon toga po\u010dinju koristiti novi backdoor<\/em><\/a> u avgustu 2021. godine koji je dobio naziv Sardonic<\/em> napisan u C++<\/em> programskoj jeziku sa mogu\u0107nostima prikupljanja informacija i izvr\u0161avanja komandi. Ovaj backdoor<\/em> je uo\u010denu u napadima u decembru 2022. godine kada se koristio za isporuku Black Cat ransomware<\/em>-a, a koristio je iste tehnike napada uo\u010dene u napadima 2021. godine. Black Cat ransomware<\/em> (poznat jo\u0161 i kao Noberus<\/em> ili ALPHV<\/em>) je upravljan od strane zlonamjerne grupe koja je nazvana Coreid<\/em> (poznat jo\u0161 i kao Blackmatter<\/em> ili Carbon<\/em> Spider<\/em> ili FIN7<\/em>).<\/span><\/p>\n

 <\/p>\n

Novi Sardonic<\/em> backdoor<\/em><\/strong><\/span><\/h3>\n

U skora\u0161njim napadima ove grupe, primije\u0107ena je upotreba Sardonic<\/em> backdoor<\/em> zlonamjernog softvera koji se razliku od prethodnika, po\u0161to isporu\u010duje Black Cat ransomware<\/em> i koristi potpuno prera\u0111ene backdoor<\/em>.<\/span><\/p>\n

Prera\u0111ena verzija Sardonic<\/em> backdoor<\/em> zlonamjernog softvera djeli brojne karakteristike sa verzijom baziranom na C <\/em>programskom jeziku, me\u0111utim ve\u0107ina k\u00f4da je ponovo napisana, tako da nova verzija dobija novi izgled.\u00a0 Zanimljivo je da backdoor<\/em> k\u00f4d vi\u0161e ne koristi standardnu C<\/em> biblioteku i ve\u0107ina objektno orijentisanih karakteristika je zamijenjena obi\u010dnom C<\/em> implementacijom. Primjetno je da neke prerade izgledaju neprirodno, \u0161to sugeri\u0161e da bi primarni cilj zlonamjernog aktera mogao da bude izbjegavanje sli\u010dnosti sa prethodno otkrivenim detaljima.<\/span><\/p>\n

 <\/p>\n

Funkcionisanje<\/strong><\/span><\/h4>\n

Prilikom napada,\u00a0 Sardonic<\/em> backdoor<\/em> koristi ugra\u0111enu PowerShell<\/em> skriptu koja se ubacuje u ciljani sistem nakon dobijanja po\u010detnog pristupa. Skripta pokre\u0107e .NET<\/em> program za u\u010ditavanje\u00a0 koji zatim de\u0161ifruje i izvr\u0161ava modul za ubacivanje da bi na kraju pokrenuo implant. Svrha modula za ubacivanje je da pokrene\u00a0 backdoor <\/em>u novostvorenom\u00a0 procesu WmiPrvSE.exe<\/em>, sa sesijom 0 koriste\u0107i token ukraden iz procesa\u00a0 lsass.exe<\/em>.<\/span><\/p>\n

Sardonic backdoor pored toga podr\u017eava do deset interaktivnih sesija na zara\u017eenom ure\u0111aju kako bi zlonamjerni napada\u010d mogao da pokrene zlonamjerne komande, uz podr\u0161ku tri razli\u010dita formata dodataka za izvr\u0161avanje dodatnih DLL<\/em> datoteka i komandnog okru\u017eenja. Pored toga, tu je jo\u0161 i mogu\u0107nost ubacivanja proizvoljnih datoteka i preuzimanja sadr\u017eaja datoteka sa kompromitovanog ure\u0111aja na infrastrukturu pod kontrolom zlonamjernog aktera.<\/span><\/p>\n

 <\/p>\n

Za\u0161tita<\/strong><\/span><\/h5>\n

Kako bi se korisnici za\u0161titili od zlonamjernih napada FIN8<\/em> grupe, koji su u konstantnoj evoluciji, predla\u017ee se implementacija strategija dubinske odbrane koja uklju\u010duje kori\u0161tenje vi\u0161e slojeva alata za otkrivanje i za\u0161titu i uklju\u010divanje autentifikaciju u vi\u0161e koraka (MFA<\/em>) i kontrole pristupa. Organizacije mogu da razmotre primjenu jednokratnih podatka za prijavu prilikom obavljanja administrativnih poslova kako bi sprije\u010dile kra\u0111u i zloupotrebu administrativnih korisni\u010dkih naloga.<\/span><\/p>\n

 <\/p>\n

Zaklju\u010dak<\/strong><\/span><\/h5>\n

FIN8 grupa stalno unapre\u0111uje svoje sposobnosti i infrastrukturu za isporuku zlonamjernog softvera uz \u010desto usavr\u0161avanje svojih tehnika kako bi izbjegli da budu otkriveni. Njihov nedavni prelazak sa napada na aparate za bezgotovinsko pla\u0107anja prodajnom mjestu na softver za otkup (eng. ransomware<\/em>) pokazuje njihovu posve\u0107enost da ostvare maksimalni profit od svojih \u017ertava.<\/span><\/p>","protected":false},"excerpt":{"rendered":"

Sigurnosni istra\u017eiva\u010di su primijetili da grupa FIN8 koristi Sardonic varijantu zlonamjernog softvera za isporuku Black Cat ransomware-a, \u0161to predstavlja poku\u0161aj ove grupe da pro\u0161iri svoj fokus i poku\u0161a da pove\u0107a svoj profit. FIN8 FIN8...<\/p>","protected":false},"author":1,"featured_media":5114,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[142,473,471,133,472],"class_list":["post-5112","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-backdoor","tag-black-cat-ransomware","tag-fin8","tag-ransomware","tag-syssphinx"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5112","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=5112"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5112\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/5114"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=5112"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=5112"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=5112"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}