Neue Backdoor-Komponente Malware-Gruppe FIN8 entdeckt

Neue Backdoor-Komponente Malware-Gruppe FIN8 entdeckt
Anzeige

Beitrag teilen

Banking-Malware-Gruppe FIN8 eröffnet sich mit Sardonic weitere Hintertür für eine gezielte Attacke. Bitdefender-Experten haben Backdoor-Komponente bei einer gezielten Attacke auf eine US-Finanzorganisation entdeckt und „Sardonic“ genannt.

Die FIN8-Gruppe baut ihr Malware-Arsenal weiter aus: Die Experten der Bitdefender Labs haben im Rahmen einer forensischen Untersuchung eine neue Backdoor-Komponente bei einer gezielten Attacke auf eine US-Finanzorganisation entdeckt und „Sardonic“ genannt: Die forensischen Artefakte deuten darauf hin, dass die Urheber unter diesem Namen ein größeres Projekt vorantreiben, dass aus der neuen Backdoor, dem Loader und weiteren Skripten besteht. Die neue Hintertür erschließt den Angreifern zahlreiche Funktionen. Mit ihrer Hilfe können Angreifer neue Malware unmittelbar on the fly einsetzen, ohne Komponenten updaten zu müssen. Erst im März dieses Jahres hatten die Experten der Bitdefender Labs mit BADHATCH eine weitere FIN8-Hintertür entdeckt.

Anzeige

FIN8 zielt seit 2016 auf den Bankensektor

Die seit Januar 2016 beobachteten FIN8-Aktivitäten starten vor allem „Living-of-the-Land”-Attacken gegen Finanzdienste und Point-of-Sales (POS) -Systeme. Dabei nutzen sie eingebaute Tools und Schnittstellen wie PowerShell oder WMI. Die Hacker missbrauchen zudem legitime Dienste wie sslip.io, um die Aktivitäten der Malware zu verschleiern.

Infektion und Wirkungsweise von Sardonic

Der ursprüngliche Infektionsvektor lässt sich nicht exakt bestimmen. Aber vieles deutet darauf hin, dass Sardonic wie die anderen der seit Januar 2016 beobachteten FIN8-Attacken Social-Engineering-Techniken und Spear-Phishing-Kampagnen nutzt, um zunächst in das Netz zu gelangen.

Anzeige

Sobald die Backdoor durch den Sardonic Loader implementiert ist, sichert sich das Tool seine Persistenz im Opfernetz. Die Malware startet danach damit, Informationen über das Netzwerk und die Domaine (Nutzer und Domain Controller) zu sammeln. Mit einem Plug-In-System lassen sich eigens von den Angreifern entwickelte DLLs laden und ausführen. Weitere Seitwärtsbewegungen dienen unter anderem der unerlaubten Eskalation von Privilegien. Die Kommunikation mit dem Command-and-Control-Server der Angreifer läuft über Port 443. Die einzelnen Funktionen unterscheiden sich im Codierungsstil und im Nutzen der C++-Standardbibliothek. Das sind Anzeichen dafür, dass mehrere Personen sich daran beteiligen, Sardonic weiterzuentwickeln.

Umfassender Schutz empfohlen

Um solche Angriffe abzuwehren, benötigen Unternehmen eine umfassende Kombination von Abwehrtechnologien mit Tools zur Prävention sowie zu Detection and Response, die die Vorgänge in der Unternehmens-IT beobachten. Grundsätzlich sollten Unternehmen ihre POS-Netzwerke von den Netzen für Mitarbeiter, Partner und Gäste trennen. E-Mail-Sicherheit erkennt verdächtige Anhänge, die Teil einer Phishing-Kampagne sind. Ebenso zentral ist eine SIEM oder eine in andere Lösungen integrierte Threat Intelligence. Kleinere und mittlere Unternehmen, die ebenfalls Zielscheibe solcher Attacken sind, sollten Managed-Detection-and-Response-Dienste in Anspruch nehmen. Letzten Endes bieten nur diese einen wirklichen und nachhaltigen Schutz gegen solche Angriffe, wie sie FIN8 startet, welche nach dem Eindringen noch über mehrere Monate lang im Geheimen wirken können. Weitere Informationen zu Sardonic finden sich online bei Bitdefender.

Mehr bei Bitdefender.com

 


Über Bitdefender

Bitdefender ist ein weltweit führender Anbieter von Cybersicherheitslösungen und Antivirensoftware und schützt über 500 Millionen Systeme in mehr als 150 Ländern. Seit der Gründung im Jahr 2001 sorgen Innovationen des Unternehmens regelmäßig für ausgezeichnete Sicherheitsprodukte und intelligenten Schutz für Geräte, Netzwerke und Cloud-Dienste von Privatkunden und Unternehmen. Als Zulieferer erster Wahl befindet sich Bitdefender-Technologie in 38 Prozent der weltweit eingesetzten Sicherheitslösungen und genießt Vertrauen und Anerkennung bei Branchenexperten, Herstellern und Kunden gleichermaßen. www.bitdefender.de


 

Passende Artikel zum Thema

Vernetzte Geräte als Einfallstor

Ein Anbieter von Cybersicherheitslösungen hat seinen fünften jährlichen Forschungsbericht Riskiest Connected Devices veröffentlicht, der einen Überblick über die anfälligsten Geräte ➡ Weiterlesen

KI-gestützte Bewertung von Netzwerk-Schwachstellen

Innovationen treiben die Konsolidierung der Cybersicherheit weiter voran, indem veraltete Schwachstellenmanagement-Tools eliminiert werden und die KI-basierte Risikopriorisierung auf Netzwerk-Assets ausgeweitet ➡ Weiterlesen

Ransomware-Gruppen setzen auf mehr Affiliate-Modelle

Die APT-Gruppen DragonForce und Anubis führen innovative Ansätze zur Erweiterung ihrer Aktivitäten ein und sehen sich selbst als Kartell. Neben ➡ Weiterlesen

Mehrheit der Sicherheitsexperten halten Cyber-Immunität für effizient

Eine aktuelle Umfrage unter Cybersicherheitsexperten in Unternehmen in Deutschland zeigt einen klaren Bedarf an Cybersicherheitsstrategien, die über herkömmliche Lösungen hinausgehen. ➡ Weiterlesen

Angriffe auf die Wasserversorgung

Wasser ist als Grundlage allen Lebens eine der wertvollsten Ressourcen. Kein Wunder also, dass auch die Wasserversorgung zunehmend zum Ziel ➡ Weiterlesen

PHASR verstärkt proaktiv die Endpunktsicherheit

Eine industrieweit erste Endpunkt-Sicherheitslösung, die Endpunkte dynamisch und auf jeden Benutzer zugeschnitten härtet: Bitdefenders PHASR. Damit ist sichergestellt, dass Sicherheitskonfigurationen ➡ Weiterlesen

Mit Exposure-Management gegen Ransomware

Ein führendes Unternehmen für IT-Sicherheit hat seinen aktuellen Cybersicherheitsbericht veröffentlicht. Nur ein Viertel der deutschen Sicherheitsexperten ist optimal auf Ransomware-Angriffe ➡ Weiterlesen

Ausgeklügelte Phishing-as-a-Service-Plattform (PhaaS)

Sicherheitsforscher haben eine ausgeklügelte Phishing-as-a-Service-Plattform (PhaaS) enttarnt, die eine ernstzunehmende Gefahr für Unternehmen auf der ganzen Welt darstellt. Der Bedrohungsakteur ➡ Weiterlesen