Il gruppo di minacce finanziariamente motivato noto come FIN8 è stato osservato mentre utilizza una versione “rinnovata” di un backdoor chiamato Sardonic per distribuire il ransomware BlackCat. Secondo il Symantec Threat Hunter Team, parte di Broadcom, lo sviluppo è un tentativo da parte del gruppo di crimini elettronici di diversificare il suo focus e massimizzare i profitti dalle entità infette. Il tentativo di intrusione è avvenuto nel dicembre 2022.
Dettagli sul gruppo FIN8 e sul backdoor Sardonic
FIN8 è monitorato dalla società di cybersecurity con il nome di Syssphinx. Conosciuto per essere attivo almeno dal 2016, l’avversario è stato originariamente attribuito ad attacchi mirati ai sistemi di punto vendita (PoS) utilizzando malware come PUNCHTRACK e BADHATCH.
Il gruppo è riemerso dopo più di un anno nel marzo 2021 con una versione aggiornata di BADHATCH, seguita da un nuovo impianto completamente nuovo chiamato Sardonic, che è stato rivelato da Bitdefender nell’agosto 2021.
“La backdoor Sardonic basata su C++ ha la capacità di raccogliere informazioni di sistema ed eseguire comandi, e ha un sistema di plugin progettato per caricare ed eseguire payload di malware aggiuntivi consegnati come DLL”, ha detto Symantec in un rapporto condiviso con The Hacker News.
A differenza della variante precedente, che era progettata in C++, l’ultima iterazione presenta modifiche significative, con la maggior parte del codice sorgente riscritto in C e modificato in modo da evitare deliberatamente somiglianze.
Conclusione sul gruppo FIN8 e sul backdoor Sardonic
Nell’incidente analizzato da Symantec, Sardonic è incorporato in uno script PowerShell che è stato distribuito nel sistema bersaglio dopo aver ottenuto l’accesso iniziale. Lo script è progettato per lanciare un loader .NET, che poi decifra ed esegue un modulo iniettore per eseguire infine l’impianto.
“Lo scopo dell’iniettore è di avviare la backdoor in un processo WmiPrvSE.exe appena creato”, ha spiegato Symantec. “Quando crea il processo WmiPrvSE.exe, l’iniettore tenta di avviarlo nella sessione-0 (miglior sforzo) utilizzando un token rubato dal processo lsass.exe.”
Sardonic, oltre a supportare fino a 10 sessioni interattive sull’host infetto per l’attore della minaccia per eseguire comandi malevoli, supporta tre diversi formati di plugin per eseguire ulteriori DLL e shellcode.