FIN8 กลุ่มผู้โจมตีที่มีแรงจูงใจทางด้านการเงิน ทำการปรับปรุงแบ็คดอร์เวอร์ชันใหม่ที่ชื่อว่า Sardonic เพื่อนำไปสู่การติดตั้ง BlackCat Ransomware
Symantec Threat Hunter Team ระบุว่าการพัฒนาการโจมตีในครั้งนี้เป็นของกลุ่ม e-crime เพื่อกระจายความสนใจ และสร้างผลกำไรสูงสุดจากหน่วยงานที่โดนโจมตี ซึ่งความพยายามที่จะโจมตีนั้นเกิดขึ้นในเดือนธันวาคม 2565
FIN8 ถูกติดตามโดยบริษัทรักษาความปลอดภัยทางไซเบอร์ภายใต้ชื่อ Syssphinx ซึ่งมีการโจมตีมาตั้งแต่ปี 2559 ในเบื้องต้นเป็นการโจมตีระบบ Point of Sale (PoS) โดยใช้มัลแวร์อย่าง PUNCHTRACK และ BADHACH เป็นต้น และกลุ่มดังกล่าวได้กลับมาทำการโจมตีอีกครั้งหลังจากผ่านไปกว่าหนึ่งปีในเดือนมีนาคม 2564 ด้วย BADHATCH เวอร์ชันอัปเดต ตามมาด้วย bespoke implant แบบใหม่ที่เรียกว่า Sardonic ซึ่งเปิดเผยโดย Bitdefender ในเดือนสิงหาคม 2564
Sardonic backdoor ใช้ภาษา C++ ที่สามารถรวบรวมข้อมูลของระบบ และดำเนินการตามคำสั่ง และยังมีระบบปลั๊กอินที่ออกแบบมาเพื่อโหลด และดำเนินการ payloads ของมัลแวร์อื่น ๆ เพิ่มเติมในรูปแบบไฟล์ DLLs ซึ่งแตกต่างกับเวอร์ชันก่อนหน้าที่ออกแบบด้วยภาษา C++ โดย Iteration packs ล่าสุดมีการปรับเปลี่ยนที่สำคัญ โดยซอร์สโค้ดส่วนใหญ่ได้มีการเขียนใหม่ในภาษา C และมีการแก้ไขบางส่วนเพื่อให้ไม่ดูมีความคล้ายคลึงกัน
Symantec ได้ทำการวิเคราะห์เหตุการณ์พบว่า Sardonic จะถูกฝังอยู่ใน PowerShell script ที่ถูกติดตั้งในระบบของเป้าหมายหลังจากที่มีการเข้าถึงได้ในครั้งแรก โดยสคริปต์นี้ได้ออกแบบมาเพื่อเรียกใช้ตัวโหลด .NET ซึ่งจะทำการถอดรหัส และเรียกใช้ injector module เพื่อเรียกใช้ Implant ในตอนท้าย
Sardonic นอกจากจะรองรับ interactive sessions ได้สูงสุด 10 เซสชันบนโฮสต์ที่ติดมัลแวร์ เพื่อให้ผู้โจมตีเรียกใช้คำสั่งที่เป็นอันตรายได้แล้วนั้น ยังสามารถรองรับรูปแบบปลั๊กอินที่แตกต่างกันสามรูปแบบเพื่อเรียกใช้ DLL และ shellcode เพิ่มเติม และคุณสมบัติอื่น ๆ ของ Backdoor ยังมีความสามารถในการติดตั้งไฟล์ได้ตามต้องการ และส่งข้อมูลออกจากเครื่องที่ถูกโจมตีไปยัง Controlled infrastructure ของผู้โจมตี
ซึ่งไม่ใช่ครั้งแรกที่พบว่า FIN8 ใช้ Sardonic ในการเชื่อมต่อกับการโจมตีของแรนซัมแวร์ โดยในเดือนมกราคม 2565 Lodestone และ Trend Micro ได้เปิดเผยการใช้แรนซัมแวร์ White Rabbit ของ FIN8 ที่มีพื้นฐานมาจาก Sardonic
Symantec ระบุว่า Syssphinx ยังคงทำการพัฒนา และปรับปรุงความสามารถของโครงสร้างพื้นฐานในการติดตั้งมัลแวร์อย่างต่อเนื่อง ซึ่งมีการปรับปรุงเครื่องมือ และกลยุทธ์ในการโจมตีเป็นระยะ เพื่อหลีกเลี่ยงการตรวจจับ และการตัดสินใจของกลุ่มเพื่อต่อยอดจากการโจมตี point-of-sale เพื่อติดตั้งแรนซัมแวร์ แสดงให้เห็นถึงความทุ่มเทของผู้โจมตีในการเพิ่มผลกำไรสูงสุดจากองค์กรที่ตกเป็นเหยื่อ
Indicators of Compromise (IOC)
ที่มา : thehackernews symantec