Hakerzy FIN8 używają Sardonic Backdoor do atakowania instytucji finansowych

Podmioty zagrażające mają różne motywacje i cele. Niektórzy z nich pracują dla tego, kto zaoferuje najwyższą cenę, podczas gdy inni skupiają się na szpiegostwie i eksfiltracji danych. Są też tacy jak FIN8, aktorzy zagrożeń, których motywacja jest czysto finansowa. Zazwyczaj te grupy cyberprzestępcze ścigają firmy w osobach działających w lukratywnych branżach, takich jak hotelarstwo, restauracje i handel detaliczny. Grupa FIN8 jest jednym z najbardziej znanych cyberprzestępców z motywacją finansową, a ostatnio wypuściła nowe zagrożenie o nazwie Sardonic Backdoor.

Wcześniej grupa FIN8 wykorzystywała inne niestandardowe złośliwe oprogramowanie – takie jak PoSlurp i BADHATCH. Tym razem jednak używają znacznie bardziej wyrafinowanego implantu. Sardonic Backdoor jest bogaty w funkcje i, co zaskakujące, jego celem jest duża organizacja finansowa z siedzibą w USA. Jest jednak prawdopodobne, że hakerzy FIN8 planują rozszerzenie swojej działalności w najbliższej przyszłości. Podobnie jak w poprzednich kampaniach, przestępcy po raz kolejny dążą do rozprzestrzenienia się na boki w sieci. Ich ostatecznym celem jest złamanie zabezpieczeń urządzeń w punktach sprzedaży (PoS) i wykradzenie danych kart płatniczych.

C++ Sardonic Backdoor kradnie dane finansowe

Ładunek Sardonic Backdoor jest napisany w C++, a przestępcy prawdopodobnie użyją taktyk spearphishingu i socjotechniki, aby dostarczyć go do swoich celów. Jeśli chodzi o cechy tego trojana, może on:

• Wykonuj zdalne polecenia i zwracaj dane wyjściowe do serwera atakującego.
• Zbierz dane dotyczące sprzętu, oprogramowania i sieci dotyczące zainfekowanego hosta.
• Modułowa struktura Sardonic Backdoor umożliwia operatorom rozszerzenie funkcjonalności w locie.

Zakres ataku trojana Sardonic Backdoor nie jest jeszcze jasny, a sytuacja wciąż się rozwija. Oczywiście oznacza to, że firmy z branży hotelarskiej, restauracyjnej i detalicznej muszą podjąć środki zapobiegawcze w celu zidentyfikowania i powstrzymania złośliwego implantu. Szkolenie pracowników w zakresie bezpiecznego poruszania się po sieci i inwestowanie w renomowaną ochronę punktów końcowych powinno wystarczyć, aby złagodzić złośliwe ataki, takie jak ten, o którym mowa.