Il gruppo di malware bancario FIN8 apre un'altra backdoor per un attacco mirato con Sardonic. Gli esperti di Bitdefender hanno scoperto componenti backdoor in un attacco mirato a un'organizzazione finanziaria statunitense e li hanno soprannominati "Sardonici".
Il gruppo FIN8 continua ad espandere il suo arsenale di malware: come parte di un'indagine forense, gli esperti di Bitdefender Labs hanno scoperto un nuovo componente backdoor in un attacco mirato a un'organizzazione finanziaria statunitense e lo hanno chiamato "Sardonic": gli artefatti forensi indicano che gli autori sono portando avanti un progetto più ampio con questo nome che consiste nella nuova backdoor, nel caricatore e in altri script. La nuova backdoor apre numerose funzioni agli aggressori. Con il loro aiuto, gli aggressori possono distribuire immediatamente nuovo malware al volo senza dover aggiornare i componenti. È stato solo a marzo di quest'anno che gli esperti di Bitdefender Labs hanno scoperto un'altra backdoor FIN8 con BADHATCH.
FIN8 si rivolge al settore bancario dal 2016
Le attività FIN2016 osservate da gennaio 8 lanciano principalmente attacchi "viventi della terra" contro i servizi finanziari e i sistemi di punti vendita (POS). Usano strumenti e interfacce integrati come PowerShell o WMI. Gli hacker abusano anche di servizi legittimi come sslip.io per mascherare le attività del malware.
Infezione e modalità di azione di Sardonic
Il vettore di infezione originale non può essere determinato esattamente. Ma ci sono molte indicazioni che Sardonic, come gli altri attacchi FIN2016 osservati da gennaio 8, utilizzi tecniche di social engineering e campagne di spear phishing per entrare inizialmente sul web.
Non appena la backdoor viene implementata dal Sardonic Loader, lo strumento ne assicura la persistenza nella rete della vittima. Il malware inizia quindi a raccogliere informazioni sulla rete e sul dominio (utenti e controller di dominio). Le DLL appositamente sviluppate dagli aggressori possono essere caricate ed eseguite utilizzando un sistema plug-in. Ulteriori movimenti laterali servono, tra l'altro, all'escalation non autorizzata dei privilegi. La comunicazione con il server di comando e controllo degli aggressori avviene sulla porta 443. Le singole funzioni differiscono nello stile di codifica e nell'utilizzo della libreria standard C++. Questi sono segni che diverse persone sono coinvolte nell'ulteriore sviluppo di Sardonic.
Protezione totale consigliata
Per difendersi da tali attacchi, le aziende necessitano di una combinazione completa di tecnologie di difesa con strumenti di prevenzione, rilevamento e risposta che monitorino ciò che accade nell'IT aziendale. Fondamentalmente, le aziende dovrebbero separare le loro reti POS dalle reti per dipendenti, partner e ospiti. Email Security rileva gli allegati sospetti che fanno parte di una campagna di phishing. Altrettanto centrale è un SIEM o informazioni sulle minacce integrate in altre soluzioni. Le piccole e medie imprese che sono anche l'obiettivo di tali attacchi dovrebbero utilizzare servizi di rilevamento e risposta gestiti. In definitiva, solo questi offrono una protezione reale e sostenibile contro attacchi come quelli lanciati da FIN8, che possono funzionare in segreto per diversi mesi dopo la penetrazione. Ulteriori informazioni su Sardonic sono disponibili online su Bitdefender.
Altro su Bitdefender.com
Informazioni su Bitdefender Bitdefender è un leader globale nelle soluzioni di sicurezza informatica e nel software antivirus, proteggendo oltre 500 milioni di sistemi in più di 150 paesi. Dalla sua fondazione nel 2001, le innovazioni dell'azienda hanno regolarmente fornito eccellenti prodotti di sicurezza e protezione intelligente per dispositivi, reti e servizi cloud per clienti privati e aziende. In qualità di fornitore preferito, la tecnologia Bitdefender si trova nel 38% delle soluzioni di sicurezza implementate nel mondo ed è affidabile e riconosciuta da professionisti del settore, produttori e clienti. www.bitdefender.de