Secondo il Symantec Threat Hunter Team (Broadcom), il gruppo finanziariamente motivato Syssphinx (noto come FIN8) sarebbe stato osservato utilizzare una versione rivisitata della backdoor Sardonic per distribuire il ransomware Noberus (BlackCat). Ciò sarebbe secondo i ricercatori un tentativo da parte del gruppo criminale di diversificare la propria azione e massimizzare i profitti.
Syssphinx e la diversificazione degli attacchi
Il gruppo Syssphinx noto per l’utilizzo di strumenti PowerShell, WMI, l’ingegneria sociale, lo spear-phishing e l’abuso di servizi legittimi per mascherare la propria attività e specializzato in attacchi a sistemi point-of-sale (POS), negli ultimi anni sarebbe stato osservato impiegare anche diversi ransomware nei propri attacchi:
- Nel giugno 2021, il ransomware Ragnar Locker;
- Nel gennaio 2022, il ransomware White Rabbit;
- Nel dicembre 2022, il ransomware Noberus.
La backdoor Sardonic rivisitata
A differenza della variante precedente, progettata in C++, l’ultima iterazione della backdoor Sardonic e utilizzata nell’incidente (del dicembre 2022) analizzato da Symantec, conterrebbe delle variazioni e la maggior parte del codice sorgente sarebbe stato riscritto in C e modificato in modo da evitare volutamente similitudini con la precedente versione: Sardonic sarebbe incorporato in uno script PowerShell, distribuito nel sistema compromesso dopo aver ottenuto il suo accesso iniziale, progettato per avviare un caricatore .NET per decrittografare ed eseguire l’injector (shellcode) ed avviare infine la backdoor.
Sardonic, oltre a supportare fino a 10 sessioni interattive sull’host infetto affinché l’autore della minaccia possa eseguire ulteriori comandi malevoli, prevederebbe tre diversi formati di plug-in per eseguire DLL e shellcode extra, includendo la possibilità di rilasciare file arbitrari ed esfiltrare dati verso un server C2 dedicato.
Syssphinx, una seria minaccia
Il gruppo “Syssphinx continua a sviluppare e migliorare le sue capacità e l’infrastruttura di distribuzione del malware, affinando periodicamente i suoi strumenti e le sue tattiche per evitare il rilevamento“, afferma Symantec e conclude, “Gli strumenti e le tattiche descritte in dettaglio in questo rapporto servono a sottolineare come questo attore di minacce finanziarie altamente qualificato rimanga una seria minaccia per le organizzazioni“.
