Ο οικονομικός απειλητικός φορέας FIN8, έχει παρατηρηθεί να χρησιμοποιεί μια ανανεωμένη έκδοση ενός backdoor που ονομάζεται Sardonic για την παράδοση του BlackCat ransomware.
Σύμφωνα με την ομάδα Symantec Threat Hunter Team, που ανήκει στην Broadcom, υπήρξε μια προσπάθεια της ομάδας ηλεκτρονικού εγκλήματος να διαφοροποιήσει την εστίασή της και να μεγιστοποιήσει τα κέρδη της από μολυσμένες οντότητες. Η απόπειρα εισβολής πραγματοποιήθηκε τον Δεκέμβριο του 2022.
Η ομάδα FIN8 παρακολουθείται από την εταιρεία κυβερνοασφάλειας με το όνομα Syssphinx. Γνωστός ότι είναι ενεργός τουλάχιστον από το 2016, ο αντίπαλος αρχικά αποδόθηκε σε επιθέσεις που στοχεύουν συστήματα point-of-sale (PoS) χρησιμοποιώντας malware όπως το PUNCHTRACK και το BADHATCH.
Η ομάδα επανεμφανίστηκε τον Μάρτιο του 2021 μετά από περισσότερο από ένα χρόνο με μια ανανεωμένη έκδοση του BADHATCH. Ακολούθησε ένα εντελώς νέο εξειδικευμένο implant με την ονομασία Sardonic, το οποίο αποκαλύφθηκε από την Bitdefender τον Αύγουστο του 2021.
Δείτε επίσης: Μια κομητεία του Wisconsin αντιμετωπίζει μια σοβαρή επίθεση ransomware
Σε αντίθεση με την προηγούμενη παραλλαγή, η οποία είχε σχεδιαστεί σε C++, το τελευταίο iteration έχει σημαντικές αλλαγές, με το μεγαλύτερο μέρος του πηγαίου κώδικα να έχει ξαναγραφτεί σε C και να έχει τροποποιηθεί έτσι ώστε να αποφεύγονται σκόπιμα οι ομοιότητες.
Στο περιστατικό που αναλύθηκε από τη Symantec, το Sardonic είναι ενσωματωμένο σε ένα PowerShell script που αναπτύχθηκε στο στοχευμένο σύστημα μετά την απόκτηση αρχικής πρόσβασης. Το script έχει σχεδιαστεί για την εκκίνηση ενός loader .NET, ο οποίος στη συνέχεια αποκρυπτογραφεί και εκτελεί ένα injector module για την τελική εκτέλεση του implant.
Το Sardonic υποστηρίζει έως και 10 διαδραστικές συνεδρίες σε έναν μολυσμένο υπολογιστή για την εκτέλεση κακόβουλων εντολών από έναν απειλητικό παράγοντα και παρέχει και υποστήριξη για τρεις διαφορετικές μορφές πρόσθετων προγραμμάτων για την εκτέλεση πρόσθετων DLL και shellcode.
Ορισμένα από τα άλλα χαρακτηριστικά του backdoor περιλαμβάνουν τη δυνατότητα απόρριψης αυθαίρετων αρχείων και διαρροής περιεχομένων αρχείων από το παραβιασμένο μηχάνημα σε μια υποδομή που ελέγχεται από έναν δράστη.
Αυτή δεν είναι η πρώτη φορά που η FIN8 εντοπίζεται να χρησιμοποιεί το Sardonic σε σχέση με μια επίθεση ransomware. Τον Ιανουάριο του 2022, η Lodestone και η Trend Micro αποκάλυψαν τη χρήση του ransomware White Rabbit, το οποίο βασίζεται στο Sardonic από τη FIN8.
Πηγή πληροφοριών: thehackernews.com
