バンキング マルウェア グループ FIN8 は、Sardonic による標的型攻撃のために別のバックドアを開きます。 Bitdefender の専門家は、米国の金融機関に対する標的型攻撃でバックドア コンポーネントを発見し、「Sardonic」と名付けました。
FIN8 グループはマルウェアの武器を拡大し続けています: フォレンジック調査の一環として、Bitdefender Labs の専門家は、米国の金融機関に対する標的型攻撃で新しいバックドア コンポーネントを発見し、「Sardonic」と名付けました: フォレンジック アーティファクトは、作成者が新しいバックドア、ローダー、その他のスクリプトで構成される、この名前の下でより大きなプロジェクトを推進しています。 新しいバックドアは、攻撃者に多数の機能を提供します。 彼らの助けを借りて、攻撃者はコンポーネントを更新することなく、新しいマルウェアをその場ですぐに展開できます。 Bitdefender Labs の専門家が BADHATCH を含む別の FIN8 バックドアを発見したのは、今年の XNUMX 月のことでした。
FIN8 は 2016 年から銀行セクターを標的にしています
2016 年 8 月以降に観測された FINXNUMX の活動は、主に金融サービスと販売時点管理 (POS) システムに対する「生活の場」攻撃を開始します。 PowerShell や WMI などの組み込みのツールとインターフェイスを使用します。 ハッカーはまた、sslip.io などの正当なサービスを悪用して、マルウェアの活動を偽装します。
サードニックの感染と作用機序
元の感染経路を正確に特定することはできません。 しかし、Sardonic は、2016 年 8 月以降に観測された他の FINXNUMX 攻撃と同様に、ソーシャル エンジニアリング技術とスピア フィッシング キャンペーンを使用して、最初に Web に侵入したことを示す多くの兆候があります。
Sardonic Loader によってバックドアが実装されるとすぐに、このツールは被害者のネットワークでの永続性を確保します。 その後、マルウェアはネットワークとドメイン (ユーザーとドメイン コントローラー) に関する情報の収集を開始します。 攻撃者が特別に開発した DLL は、プラグイン システムを使用してロードおよび実行できます。 さらに横方向への動きは、とりわけ、許可されていない権限のエスカレーションに役立ちます。 攻撃者のコマンド アンド コントロール サーバーとの通信は、ポート 443 を介して実行されます。個々の関数は、コーディング スタイルと C++ 標準ライブラリの使用が異なります。 これらは、何人かの人々がサードニックの発展に関与している兆候です。
トータルプロテクション推奨
このような攻撃を防御するために、企業は、企業の IT で何が起こっているかを監視する防御、検出、および対応ツールと防御テクノロジを包括的に組み合わせる必要があります。 基本的に、企業は POS ネットワークを従業員、パートナー、ゲスト用のネットワークから分離する必要があります。 Email Security は、フィッシング キャンペーンの一部である疑わしい添付ファイルを検出します。 同様に中心的なのは、他のソリューションに統合された SIEM または脅威インテリジェンスです。 このような攻撃の標的にもなっている中小企業は、管理された検出および対応サービスを使用する必要があります。 最終的に、侵入後数か月間秘密裏に機能する可能性がある FIN8 によって開始されるような攻撃に対する真の持続的な保護を提供できるのはこれらだけです。 Sardonic の詳細については、Bitdefender でオンラインで確認できます。
詳しくは Bitdefender.com をご覧ください
Bitdefenderについて Bitdefender は、サイバーセキュリティ ソリューションとウイルス対策ソフトウェアのグローバル リーダーであり、500 か国以上で 150 億を超えるシステムを保護しています。 2001 年の設立以来、同社のイノベーションは、優れたセキュリティ製品と、デバイス、ネットワーク、およびクラウド サービスのインテリジェントな保護を、個人の顧客や企業に定期的に提供してきました。 最適なサプライヤーとして、Bitdefender テクノロジは、世界で展開されているセキュリティ ソリューションの 38% で使用されており、業界の専門家、メーカー、および顧客から信頼され、認められています。 www.bitdefender.de