Banking-Malware-Gruppe FIN8 eröffnet sich mit Sardonic weitere Hintertür für eine gezielte Attacke. Bitdefender-Experten haben Backdoor-Komponente bei einer gezielten Attacke auf eine US-Finanzorganisation entdeckt und „Sardonic“ genannt.
Die FIN8-Gruppe baut ihr Malware-Arsenal weiter aus: Die Experten der Bitdefender Labs haben im Rahmen einer forensischen Untersuchung eine neue Backdoor-Komponente bei einer gezielten Attacke auf eine US-Finanzorganisation entdeckt und „Sardonic“ genannt: Die forensischen Artefakte deuten darauf hin, dass die Urheber unter diesem Namen ein größeres Projekt vorantreiben, dass aus der neuen Backdoor, dem Loader und weiteren Skripten besteht. Die neue Hintertür erschließt den Angreifern zahlreiche Funktionen. Mit ihrer Hilfe können Angreifer neue Malware unmittelbar on the fly einsetzen, ohne Komponenten updaten zu müssen. Erst im März dieses Jahres hatten die Experten der Bitdefender Labs mit BADHATCH eine weitere FIN8-Hintertür entdeckt.
FIN8 zielt seit 2016 auf den Bankensektor
Die seit Januar 2016 beobachteten FIN8-Aktivitäten starten vor allem „Living-of-the-Land”-Attacken gegen Finanzdienste und Point-of-Sales (POS) -Systeme. Dabei nutzen sie eingebaute Tools und Schnittstellen wie PowerShell oder WMI. Die Hacker missbrauchen zudem legitime Dienste wie sslip.io, um die Aktivitäten der Malware zu verschleiern.
Infektion und Wirkungsweise von Sardonic
Der ursprüngliche Infektionsvektor lässt sich nicht exakt bestimmen. Aber vieles deutet darauf hin, dass Sardonic wie die anderen der seit Januar 2016 beobachteten FIN8-Attacken Social-Engineering-Techniken und Spear-Phishing-Kampagnen nutzt, um zunächst in das Netz zu gelangen.
Sobald die Backdoor durch den Sardonic Loader implementiert ist, sichert sich das Tool seine Persistenz im Opfernetz. Die Malware startet danach damit, Informationen über das Netzwerk und die Domaine (Nutzer und Domain Controller) zu sammeln. Mit einem Plug-In-System lassen sich eigens von den Angreifern entwickelte DLLs laden und ausführen. Weitere Seitwärtsbewegungen dienen unter anderem der unerlaubten Eskalation von Privilegien. Die Kommunikation mit dem Command-and-Control-Server der Angreifer läuft über Port 443. Die einzelnen Funktionen unterscheiden sich im Codierungsstil und im Nutzen der C++-Standardbibliothek. Das sind Anzeichen dafür, dass mehrere Personen sich daran beteiligen, Sardonic weiterzuentwickeln.
Umfassender Schutz empfohlen
Um solche Angriffe abzuwehren, benötigen Unternehmen eine umfassende Kombination von Abwehrtechnologien mit Tools zur Prävention sowie zu Detection and Response, die die Vorgänge in der Unternehmens-IT beobachten. Grundsätzlich sollten Unternehmen ihre POS-Netzwerke von den Netzen für Mitarbeiter, Partner und Gäste trennen. E-Mail-Sicherheit erkennt verdächtige Anhänge, die Teil einer Phishing-Kampagne sind. Ebenso zentral ist eine SIEM oder eine in andere Lösungen integrierte Threat Intelligence. Kleinere und mittlere Unternehmen, die ebenfalls Zielscheibe solcher Attacken sind, sollten Managed-Detection-and-Response-Dienste in Anspruch nehmen. Letzten Endes bieten nur diese einen wirklichen und nachhaltigen Schutz gegen solche Angriffe, wie sie FIN8 startet, welche nach dem Eindringen noch über mehrere Monate lang im Geheimen wirken können. Weitere Informationen zu Sardonic finden sich online bei Bitdefender.
Mehr bei Bitdefender.com
Über Bitdefender Bitdefender ist ein weltweit führender Anbieter von Cybersicherheitslösungen und Antivirensoftware und schützt über 500 Millionen Systeme in mehr als 150 Ländern. Seit der Gründung im Jahr 2001 sorgen Innovationen des Unternehmens regelmäßig für ausgezeichnete Sicherheitsprodukte und intelligenten Schutz für Geräte, Netzwerke und Cloud-Dienste von Privatkunden und Unternehmen. Als Zulieferer erster Wahl befindet sich Bitdefender-Technologie in 38 Prozent der weltweit eingesetzten Sicherheitslösungen und genießt Vertrauen und Anerkennung bei Branchenexperten, Herstellern und Kunden gleichermaßen. www.bitdefender.de
