FIN8 атакует организации в США с помощью нового бэкдора Sardonic

Финансово мотивированная киберпреступная группировка FIN8 взломала компьютерную сеть финансовой организации в США и установила в ней новый бэкдор Sardonic, сообщают специалисты Bitdefender.

FIN8 активна как минимум с января 2016 года и известна своими атаками на организации в сфере торговли, общественного питания, гостиничного бизнеса, индустрии развлечений и здравоохранения с целью похищения данных банковских карт из POS-терминалов. Арсенал группировки включает множество разных инструментов и тактик, начиная от вредоносного ПО для POS-терминалов (например, BadHatch, PoSlurp/PunchTrack, PowerSniff/PunchBuggy/ShellTea) и заканчивая эксплуатацией уязвимостей нулевого дня в Windows и целенаправленным фишингом.

Sardonic представляет собой новый бэкдор на C++, который FIN8 внедряет в атакуемые системы с помощью методов социальной инженерии или целенаправленного фишинга. Хотя в настоящее время вредонос все еще находится на стадии разработки, его функционал включает:

• Похищение данных из зараженных систем;

• Выполнение команд на скомпрометированных устройствах;

• Поддержка системы плагинов для загрузки и выполнения дополнительного вредоносного ПО, доставляемого на скомпрометированную систему в виде DLL.

Во время атаки на банк в США бэкдор был развернут и выполнен на атакуемых системах в ходе трехэтапного процесса с использованием скрипта PowerShell, загрузчика на .NET и shell-кода загрузчика. Как пояснили исследователи, скрипт PowerShell копируется на скомпрометированную систему вручную, тогда как загрузчики доставляются автоматически.

Участники FIN8 также неоднократно пытались установить Sardonic на контроллеры домена Windows для повышения своих привилегий и бокового перемещения по корпоративной сети.

Организациям, которые потенциально могут стать жертвами FIN8 (особенно в сфере финансов, торговли и гостиничного бизнеса), настоятельно рекомендуется быть бдительными и проверять свои сети на наличие известных индикаторов компрометации FIN8, добавив их в EDR, XDR и другие используемые решения безопасности (индикаторы компрометации перечислены в конце исследования Bitdefender).