Новый бэкдор FIN8
surfIT
Статья подготовлена для канала surfIT
Киберпреступник, известный атаками на ритэйл, гостиничный бизнес и индустрию развлечений был уличён в создании бэкдора в заражённых системах. Это свидетельствует о том, что преступник постоянно увеличивает свой арсенал вредоносного ПО, чтобы избежать обнаружения и остаться незамеченным.
Ранее неизвестная программа была названа "Sardonic" компанией Bitdefender, которая столкнулась с ней в ходе расследования, после неудачной атаки, осуществленной FIN8 на финансовое учреждение, расположенное в США.
Sardonic находится на стадии активной разработки, "он чрезвычайно мощный и обладает широким спектром возможностей, которые помогают атакующему использовать новые вредоносные программы на лету без обновления компонентов", - заявили в отчете исследователи Bitdefender.
С момента возникновения, в январе 2016 года, FIN8 применяла множество методов, таких как spear-phishing и вредоносное ПО, по типу PUNCHTRACK и BADHATCH, для кражи информации о платежных картах из торговых точек (POS - Point of sale).
Группировка злоумышленников, которая славится тем, что делает длительные перерывы между кампаниями для оттачивания тактики и повышения результативности своих операций, проводит кибератаки, в основном, по принципу "living off the land" (LoL) атаки, используя встроенные инструменты и интерфейсы, такие как PowerShell, а также пользуясь легитимными сервисами, такими как sslip.io, чтобы скрыть свою деятельность.
Ранее, в марте этого года, Bitdefender сообщил о возвращении FIN8 после полуторагодичного перерыва для атак на страховые компании, розничную торговлю, технологии и химическую промышленность в США, Канаде, Южной Африке, Пуэрто-Рико, Панаме и Италии, с помощью обновленной версии вредоноса BADHATCH с улучшенными возможностями, включая захват экрана, прокси-туннелирование, кражу учетных данных и fileless execution.
В последнем инциденте, изученном компанией, злоумышленники проникли в целевую сеть для проведения детальной разведки, а затем осуществили lateral movement (расширили своё присутствие в сети) и повысили привилегии для создания полезной нагрузки вредоносной программы. "Было несколько попыток развернуть бэкдор Sardonic на контроллерах домена, чтобы продолжить повышение привилегий, но вредоносные командные строки были заблокированы", - сообщили исследователи.
Написанный на языке C++, Sardonic не только предпринимает шаги для обеспечения постоянного присутствия на зараженном устройстве, но и обладает возможностями, позволяющими ему получать сведения о системе, выполнять произвольные команды, а также загружать и выполнять дополнительные компоненты, результаты которых передаются на удаленный сервер, контролируемый киберпреступниками.
Судя по всему, последняя разработка является еще одним признаком того, что FIN8 меняет тактику, укрепляя свои позиции и инфраструктуру распространения вредоносного ПО. Для снижения риска, связанного с финансовыми зловредами, компаниям рекомендуется: отделить свои POS-сети от тех сетей, которыми пользуются сотрудники или посетители, обучить сотрудников распознавать фишинговые электронные письма и усовершенствовать решения по обеспечению безопасности электронной почты для фильтрации потенциально подозрительных вложений.
Подписывайтесь на наш канал