Група шкідливих банківських програм FIN8 відкриває ще один бекдор для цілеспрямованої атаки за допомогою Sardonic. Фахівці Bitdefender виявили бекдор-компоненти під час цілеспрямованої атаки на фінансову організацію США та назвали їх «сардонічними».
Група FIN8 продовжує розширювати свій арсенал зловмисного програмного забезпечення: у рамках криміналістичного розслідування експерти Bitdefender Labs виявили новий бекдор-компонент у цілеспрямованій атаці на фінансову організацію США та назвали його «Sardonic»: криміналістичні артефакти вказують на те, що автори просувається вперед із більшим проектом під цією назвою, який складається з нового бекдору, завантажувача та інших скриптів. Новий бекдор відкриває для зловмисників численні функції. З їх допомогою зловмисники можуть негайно розгортати нове шкідливе програмне забезпечення на льоту без необхідності оновлення компонентів. Лише в березні цього року експерти Bitdefender Labs виявили інший бекдор FIN8 з BADHATCH.
FIN8 націлений на банківський сектор з 2016 року
Діяльність FIN2016, яка спостерігалася з січня 8 року, в першу чергу запускає атаки "living-of-the-land" на фінансові послуги та системи торгових точок (POS). Вони використовують вбудовані інструменти та інтерфейси, такі як PowerShell або WMI. Хакери також зловживають законними службами, такими як sslip.io, щоб приховати діяльність шкідливого програмного забезпечення.
Інфекція та механізм дії сардоніка
Вихідний переносник інфекції точно визначити неможливо. Але є багато ознак того, що Sardonic, як і інші атаки FIN2016, які спостерігалися з січня 8 року, використовує методи соціальної інженерії та фішингові кампанії, щоб спочатку потрапити в Інтернет.
Як тільки бекдор реалізується за допомогою Sardonic Loader, інструмент забезпечує його постійність у мережі жертви. Потім зловмисне програмне забезпечення починає збирати інформацію про мережу та домен (користувачі та контролери домену). DLL-файли, спеціально розроблені зловмисниками, можуть бути завантажені та виконані за допомогою системи плагінів. Подальші рухи вбік служать, серед іншого, несанкціонованому підвищенню привілеїв. Зв’язок із командно-контрольним сервером зловмисників здійснюється через порт 443. Окремі функції відрізняються стилем кодування та використанням стандартної бібліотеки C++. Це ознаки того, що кілька людей беруть участь у подальшому розвитку Sardonic.
Рекомендований повний захист
Для захисту від таких атак компаніям потрібна комплексна комбінація технологій захисту з інструментами запобігання, виявлення та реагування, які відстежують, що відбувається в корпоративних ІТ. По суті, компанії повинні відокремити свої POS-мережі від мереж для співробітників, партнерів і гостей. Email Security виявляє підозрілі вкладення, які є частиною фішингової кампанії. Не менш центральним є SIEM або система аналізу загроз, інтегрована в інші рішення. Підприємства малого та середнього бізнесу, які також є об’єктами таких атак, повинні використовувати керовані служби виявлення та реагування. Зрештою, лише вони пропонують реальний і стійкий захист від атак, таких як ті, які запускає FIN8, які можуть працювати таємно протягом кількох місяців після проникнення. Більше інформації про Sardonic можна знайти в Інтернеті на сайті Bitdefender.
Більше на Bitdefender.com
Про Bitdefender Bitdefender є світовим лідером у сфері рішень для кібербезпеки та антивірусного програмного забезпечення, що захищає понад 500 мільйонів систем у понад 150 країнах. З моменту заснування в 2001 році інновації компанії регулярно забезпечували відмінні продукти безпеки та інтелектуальний захист для пристроїв, мереж і хмарних сервісів для приватних клієнтів і компаній. Як найкращий постачальник, технологія Bitdefender міститься в 38 відсотках розгорнутих у світі рішень безпеки, їй довіряють і визнають професіонали галузі, виробники та споживачі. www.bitdefender.de