Bankacılık kötü amaçlı yazılım grubu FIN8, Sardonic ile hedefli bir saldırı için başka bir arka kapı açar. Bitdefender uzmanları, bir ABD finans kuruluşuna yönelik hedefli bir saldırıda arka kapı bileşenlerini keşfetti ve bunları "Sardonic" olarak adlandırdı.
FIN8 grubu, kötü amaçlı yazılım cephaneliğini genişletmeye devam ediyor: Bir adli soruşturmanın parçası olarak, Bitdefender Labs uzmanları, bir ABD finans kuruluşuna yönelik hedefli bir saldırıda yeni bir arka kapı bileşeni keşfetti ve buna "Sardonic" adını verdi: adli eserler, yazarların yeni arka kapı, yükleyici ve diğer betiklerden oluşan bu ad altında daha büyük bir projeyle ilerlemek. Yeni arka kapı, saldırganlar için çok sayıda işlevin önünü açıyor. Saldırganlar, onların yardımıyla, bileşenleri güncellemek zorunda kalmadan yeni kötü amaçlı yazılımları anında dağıtabilir. Bitdefender Labs uzmanları BADHATCH ile başka bir FIN8 arka kapısı keşfettiler.
FIN8, 2016'dan beri bankacılık sektörünü hedefliyor
Ocak 2016'dan bu yana gözlemlenen FIN8 faaliyetleri, öncelikle finansal hizmetlere ve satış noktası (POS) sistemlerine yönelik "yerde yaşayan" saldırılar başlatıyor. PowerShell veya WMI gibi yerleşik araçları ve arabirimleri kullanırlar. Bilgisayar korsanları, kötü amaçlı yazılımın faaliyetlerini gizlemek için sslip.io gibi meşru hizmetleri de kötüye kullanır.
Sardonic'in enfeksiyonu ve etki şekli
Orijinal enfeksiyon vektörü tam olarak belirlenemez. Ancak Sardonic'in, Ocak 2016'dan bu yana gözlemlenen diğer FIN8 saldırıları gibi, başlangıçta web'e girmek için sosyal mühendislik teknikleri ve hedef odaklı kimlik avı kampanyaları kullandığına dair birçok gösterge var.
Arka kapı Sardonic Loader tarafından uygulanır uygulanmaz, araç kurban ağında kalıcılığını sağlar. Kötü amaçlı yazılım daha sonra ağ ve etki alanı (kullanıcılar ve etki alanı denetleyicileri) hakkında bilgi toplamaya başlar. Saldırganlar tarafından özel olarak geliştirilen DLL'ler, bir eklenti sistemi kullanılarak yüklenebilir ve çalıştırılabilir. Daha fazla yan hareketler, diğer şeylerin yanı sıra, ayrıcalıkların izinsiz olarak yükseltilmesine hizmet eder. Saldırganların komut ve kontrol sunucusuyla iletişim, 443 numaralı bağlantı noktası üzerinden çalışır. Bireysel işlevler, kodlama stilinde ve C++ standart kitaplığının kullanımında farklılık gösterir. Bunlar, birkaç kişinin Sardonic'i daha da geliştirmekle ilgilendiğine dair işaretler.
Toplam koruma önerilir
Bu tür saldırılara karşı savunma yapmak için şirketler, kurumsal BT'de neler olup bittiğini izleyen önleme, tespit ve müdahale araçlarıyla kapsamlı bir savunma teknolojileri kombinasyonuna ihtiyaç duyar. Temel olarak şirketler, POS ağlarını çalışanlar, ortaklar ve misafirler için ağlardan ayırmalıdır. E-posta Güvenliği, bir kimlik avı kampanyasının parçası olan şüpheli ekleri algılar. Diğer çözümlere entegre edilmiş bir SIEM veya tehdit istihbaratı da aynı derecede merkezidir. Bu tür saldırıların da hedefi olan küçük ve orta ölçekli işletmeler, yönetilen tespit ve müdahale hizmetlerini kullanmalıdır. Nihayetinde, yalnızca bunlar, FIN8 tarafından başlatılanlar gibi saldırılara karşı gerçek ve sürdürülebilir koruma sunar ve sızmadan sonra birkaç ay boyunca gizli çalışabilir. Sardonic hakkında daha fazla bilgi çevrimiçi olarak Bitdefender'da bulunabilir.
Bitdefender.com'da daha fazlası
Bitdefender Hakkında Bitdefender, 500'den fazla ülkede 150 milyondan fazla sistemi koruyan siber güvenlik çözümleri ve antivirüs yazılımında dünya lideridir. 2001 yılında kuruluşundan bu yana şirketin yenilikleri düzenli olarak mükemmel güvenlik ürünleri ve özel müşteriler ve şirketler için cihazlar, ağlar ve bulut hizmetleri için akıllı koruma sağladı. Tercih edilen tedarikçi olarak Bitdefender teknolojisi, dünyanın dağıtılan güvenlik çözümlerinin yüzde 38'inde bulunur ve hem endüstri profesyonelleri, üreticiler hem de tüketiciler tarafından güvenilmekte ve tanınmaktadır. www.bitdefender.de