बैंकिंग मैलवेयर समूह FIN8 ने सरडोनिक के साथ लक्षित हमले के लिए एक और पिछला दरवाजा खोला। बिटडेफेंडर विशेषज्ञों ने एक अमेरिकी वित्तीय संगठन पर लक्षित हमले में पिछले दरवाजे के घटकों की खोज की है और उन्हें "सार्डोनिक" करार दिया है।
FIN8 समूह अपने मैलवेयर शस्त्रागार का विस्तार करना जारी रखता है: एक फोरेंसिक जांच के हिस्से के रूप में, बिटडेफेंडर लैब्स के विशेषज्ञों ने एक अमेरिकी वित्तीय संगठन पर लक्षित हमले में एक नए पिछले दरवाजे घटक की खोज की और इसे "सार्डोनिक" नाम दिया: फोरेंसिक कलाकृतियों से संकेत मिलता है कि लेखक हैं इस नाम के तहत एक बड़ी परियोजना के साथ आगे बढ़ रहा है जिसमें नया बैकडोर, लोडर और अन्य स्क्रिप्ट शामिल हैं। नया पिछला दरवाजा हमलावरों के लिए कई कार्यों को खोलता है। उनकी मदद से, हमलावर घटकों को अपडेट किए बिना तुरंत नए मैलवेयर को फ्लाई पर तैनात कर सकते हैं। इस साल मार्च में ही बिटडेफेंडर लैब्स के विशेषज्ञों ने BADHATCH के साथ एक और FIN8 बैकडोर की खोज की।
FIN8 2016 से बैंकिंग क्षेत्र को लक्षित कर रहा है
जनवरी 2016 से देखी गई FIN8 गतिविधियां मुख्य रूप से वित्तीय सेवाओं और पॉइंट-ऑफ-सेल्स (POS) सिस्टम के खिलाफ "लिविंग-ऑफ-द-लैंड" हमले शुरू करती हैं। वे PowerShell या WMI जैसे बिल्ट-इन टूल्स और इंटरफेस का उपयोग करते हैं। हैकर्स मैलवेयर की गतिविधियों को छिपाने के लिए sslip.io जैसी वैध सेवाओं का भी दुरुपयोग करते हैं।
सार्डोनिक की कार्रवाई का संक्रमण और तरीका
मूल संक्रमण वेक्टर का सटीक निर्धारण नहीं किया जा सकता है। लेकिन ऐसे कई संकेत हैं कि सरडोनिक, जनवरी 2016 के बाद से देखे गए अन्य FIN8 हमलों की तरह, वेब पर शुरू में आने के लिए सोशल इंजीनियरिंग तकनीकों और स्पीयर फ़िशिंग अभियानों का उपयोग करता है।
जैसे ही सार्डोनिक लोडर द्वारा पिछले दरवाजे को लागू किया जाता है, उपकरण पीड़ित नेटवर्क में अपनी दृढ़ता सुनिश्चित करता है। मैलवेयर तब नेटवर्क और डोमेन (उपयोगकर्ता और डोमेन नियंत्रक) के बारे में जानकारी एकत्र करना शुरू कर देता है। विशेष रूप से हमलावरों द्वारा विकसित डीएलएल को प्लग-इन सिस्टम का उपयोग करके लोड और निष्पादित किया जा सकता है। अन्य बातों के साथ-साथ तिरछे आंदोलन, विशेषाधिकारों की अनधिकृत वृद्धि का काम करते हैं। हमलावरों के कमांड-एंड-कंट्रोल सर्वर के साथ संचार पोर्ट 443 पर चलता है। व्यक्तिगत कार्य कोडिंग शैली और C++ मानक पुस्तकालय के उपयोग में भिन्न होते हैं। ये संकेत हैं कि कई लोग सार्डोनिक को और विकसित करने में शामिल हैं।
कुल सुरक्षा की सिफारिश की
इस तरह के हमलों से बचाव के लिए, कंपनियों को रोकथाम, पहचान और प्रतिक्रिया उपकरणों के साथ रक्षा प्रौद्योगिकियों के व्यापक संयोजन की आवश्यकता होती है जो कॉर्पोरेट आईटी में क्या हो रहा है इसकी निगरानी करते हैं। मूल रूप से, कंपनियों को अपने पीओएस नेटवर्क को कर्मचारियों, भागीदारों और मेहमानों के नेटवर्क से अलग करना चाहिए। ईमेल सुरक्षा संदिग्ध अटैचमेंट का पता लगाती है जो फ़िशिंग अभियान का हिस्सा हैं। समान रूप से केंद्रीय एक सिएम या खतरे की खुफिया जानकारी है जो अन्य समाधानों में एकीकृत है। छोटे और मध्यम आकार के व्यवसाय जो ऐसे हमलों का भी लक्ष्य हैं, उन्हें प्रबंधित पहचान और प्रतिक्रिया सेवाओं का उपयोग करना चाहिए। अंततः, केवल ये ही FIN8 द्वारा शुरू किए गए हमलों जैसे हमलों के खिलाफ वास्तविक और स्थायी सुरक्षा प्रदान करते हैं, जो प्रवेश के बाद कई महीनों तक गुप्त रूप से काम कर सकते हैं। सार्डोनिक के बारे में अधिक जानकारी बिटडेफेंडर पर ऑनलाइन पाई जा सकती है।
Bitdefender.com पर अधिक
बिटडेफेंडर के बारे में बिटडेफ़ेंडर साइबर सुरक्षा समाधान और एंटीवायरस सॉफ़्टवेयर में वैश्विक अग्रणी है, जो 500 से अधिक देशों में 150 मिलियन से अधिक सिस्टम की सुरक्षा करता है। 2001 में इसकी स्थापना के बाद से, कंपनी के नवाचारों ने नियमित रूप से निजी ग्राहकों और कंपनियों के लिए उपकरणों, नेटवर्क और क्लाउड सेवाओं के लिए उत्कृष्ट सुरक्षा उत्पाद और बुद्धिमान सुरक्षा प्रदान की है। पसंद के आपूर्तिकर्ता के रूप में, बिटडेफ़ेंडर तकनीक दुनिया के तैनात सुरक्षा समाधानों के 38 प्रतिशत में पाई जाती है और उद्योग के पेशेवरों, निर्माताओं और उपभोक्ताओं द्वारा समान रूप से विश्वसनीय और मान्यता प्राप्त है। www.bitdefender.de