Neue Backdoor-Komponente Malware-Gruppe FIN8 entdeckt

Neue Backdoor-Komponente Malware-Gruppe FIN8 entdeckt
Anzeige

Beitrag teilen

Banking-Malware-Gruppe FIN8 eröffnet sich mit Sardonic weitere Hintertür für eine gezielte Attacke. Bitdefender-Experten haben Backdoor-Komponente bei einer gezielten Attacke auf eine US-Finanzorganisation entdeckt und „Sardonic“ genannt.

Die FIN8-Gruppe baut ihr Malware-Arsenal weiter aus: Die Experten der Bitdefender Labs haben im Rahmen einer forensischen Untersuchung eine neue Backdoor-Komponente bei einer gezielten Attacke auf eine US-Finanzorganisation entdeckt und „Sardonic“ genannt: Die forensischen Artefakte deuten darauf hin, dass die Urheber unter diesem Namen ein größeres Projekt vorantreiben, dass aus der neuen Backdoor, dem Loader und weiteren Skripten besteht. Die neue Hintertür erschließt den Angreifern zahlreiche Funktionen. Mit ihrer Hilfe können Angreifer neue Malware unmittelbar on the fly einsetzen, ohne Komponenten updaten zu müssen. Erst im März dieses Jahres hatten die Experten der Bitdefender Labs mit BADHATCH eine weitere FIN8-Hintertür entdeckt.

Anzeige

FIN8 zielt seit 2016 auf den Bankensektor

Die seit Januar 2016 beobachteten FIN8-Aktivitäten starten vor allem „Living-of-the-Land”-Attacken gegen Finanzdienste und Point-of-Sales (POS) -Systeme. Dabei nutzen sie eingebaute Tools und Schnittstellen wie PowerShell oder WMI. Die Hacker missbrauchen zudem legitime Dienste wie sslip.io, um die Aktivitäten der Malware zu verschleiern.

Infektion und Wirkungsweise von Sardonic

Der ursprüngliche Infektionsvektor lässt sich nicht exakt bestimmen. Aber vieles deutet darauf hin, dass Sardonic wie die anderen der seit Januar 2016 beobachteten FIN8-Attacken Social-Engineering-Techniken und Spear-Phishing-Kampagnen nutzt, um zunächst in das Netz zu gelangen.

Anzeige

Sobald die Backdoor durch den Sardonic Loader implementiert ist, sichert sich das Tool seine Persistenz im Opfernetz. Die Malware startet danach damit, Informationen über das Netzwerk und die Domaine (Nutzer und Domain Controller) zu sammeln. Mit einem Plug-In-System lassen sich eigens von den Angreifern entwickelte DLLs laden und ausführen. Weitere Seitwärtsbewegungen dienen unter anderem der unerlaubten Eskalation von Privilegien. Die Kommunikation mit dem Command-and-Control-Server der Angreifer läuft über Port 443. Die einzelnen Funktionen unterscheiden sich im Codierungsstil und im Nutzen der C++-Standardbibliothek. Das sind Anzeichen dafür, dass mehrere Personen sich daran beteiligen, Sardonic weiterzuentwickeln.

Umfassender Schutz empfohlen

Um solche Angriffe abzuwehren, benötigen Unternehmen eine umfassende Kombination von Abwehrtechnologien mit Tools zur Prävention sowie zu Detection and Response, die die Vorgänge in der Unternehmens-IT beobachten. Grundsätzlich sollten Unternehmen ihre POS-Netzwerke von den Netzen für Mitarbeiter, Partner und Gäste trennen. E-Mail-Sicherheit erkennt verdächtige Anhänge, die Teil einer Phishing-Kampagne sind. Ebenso zentral ist eine SIEM oder eine in andere Lösungen integrierte Threat Intelligence. Kleinere und mittlere Unternehmen, die ebenfalls Zielscheibe solcher Attacken sind, sollten Managed-Detection-and-Response-Dienste in Anspruch nehmen. Letzten Endes bieten nur diese einen wirklichen und nachhaltigen Schutz gegen solche Angriffe, wie sie FIN8 startet, welche nach dem Eindringen noch über mehrere Monate lang im Geheimen wirken können. Weitere Informationen zu Sardonic finden sich online bei Bitdefender.

Mehr bei Bitdefender.com

 


Über Bitdefender

Bitdefender ist ein weltweit führender Anbieter von Cybersicherheitslösungen und Antivirensoftware und schützt über 500 Millionen Systeme in mehr als 150 Ländern. Seit der Gründung im Jahr 2001 sorgen Innovationen des Unternehmens regelmäßig für ausgezeichnete Sicherheitsprodukte und intelligenten Schutz für Geräte, Netzwerke und Cloud-Dienste von Privatkunden und Unternehmen. Als Zulieferer erster Wahl befindet sich Bitdefender-Technologie in 38 Prozent der weltweit eingesetzten Sicherheitslösungen und genießt Vertrauen und Anerkennung bei Branchenexperten, Herstellern und Kunden gleichermaßen. www.bitdefender.de


 

Passende Artikel zum Thema

Diebe von Kreditkartendaten erweitern Tech-Portfolio

News Alert Bitdefender: Diebe von Kreditkartendaten erweitern ihr Tech-Portfolio. FIN8-Gruppe nutzt seit Kurzem die Backdoor BADHATCH mit erweiterten Funktionalitäten und verbesserter ➡ Weiterlesen

Schlüsseltechnologien gegen Ransomware

Ransomware ist eine chronische Gefahr. Ihr Auftreten verändert sich aber ständig. Zum einen steckt hinter dem permanenten Wandel eine Szene, ➡ Weiterlesen

Analyse des Raccoon Passwort Stealer

Die Experten von Bitdefender haben eine Analyse des Raccoon Passwort Stealer erstellt. Das erstaunlichste dabei: sofern Russisch oder Ukrainisch als ➡ Weiterlesen

Cloud Security: Patch-Management bei Cloud-Workloads

Cloud Security: Cloud Computing ist für Unternehmen und Organisationen aller Größen zu einer grundlegenden Säule ihrer Abläufe geworden. Was für ➡ Weiterlesen

Managed Security Dienste: wichtiger Schlüssel zum IT-Versicherungsschutz

IT-Versicherungsschutz bzw. Cyber-Versicherungen können angesichts der wirtschaftlichen Dimensionen von IT-Sicherheitsvorfällen in vielen Fällen zum entscheidenden Rettungsanker für Unternehmen werden. Die ➡ Weiterlesen

Russland-Ukraine-Krieg: Komplexe Cyberspionage 

Der Krieg in der Ukraine ist auch ein Cyberkrieg der Cyberspionage forciert. Bitdefender Labs stellen aktuelle Angriffe des Elephant-Frameworks fest. ➡ Weiterlesen

RedLine Stealer nutzt Internet-Explorer-Sicherheitslücke aus

Weltweite Kampagne - Deutschland nach Indien am stärksten betroffen: Passwortdieb RedLine Stealer entwendet vertrauliche Anmeldeinformationen von Internet-Explorer-Nutzern. Der veraltete Browser ➡ Weiterlesen

Schutz gegen Supply-Chain-Attacken bei KMUs 

Angriffe auf die Lieferkette – die Supply Chain – für Software (und für Hardware) von IT bedrohen auch kleine und ➡ Weiterlesen