Sardonic Backdoor

Die FIN8-Cybergang ist zurück mit einer neuen Angriffskampagne und neuen Malware-Bedrohungen in ihrem Arsenal. Das jüngste Opfer dieses finanziell motivierten Bedrohungsakteurs ist eine US-Finanzorganisation, genauer gesagt eine Bank. Als Teil des Angriffs hat FIN8 eine bisher unbekannte Malware-Bedrohung namens Sardonic eingesetzt.

FIN8 gibt es seit mindestens 2016 und hat in diesem Zeitraum zwischen mehreren aktiven Perioden gefolgt von einer relativen Ruhephase gewechselt. Während sie inaktiv sind, arbeiten die Hacker normalerweise daran, ihr bedrohliches Arsenal zu aktualisieren und zu verbessern. Die Gruppe hat Opfer aus einer Vielzahl unterschiedlicher Branchen wie Einzelhandel, Gesundheitswesen, Unterhaltung, Restaurant und Gastgewerbe ins Visier genommen. Das Ziel von FIN8 ist es, Zahlungskartendaten aus den POS-Systemen des Opfers zu sammeln.

Sardonic befindet sich noch in der Entwicklung

Obwohl Sardonic in einem Live-Betrieb gegen ein ausgewähltes Ziel eingesetzt wird, ist es keine vollständig abgeschlossene Malware-Bedrohung, da es Anzeichen dafür aufweist, dass es sich noch in der aktiven Entwicklung befindet. Das hindert es nicht daran, eine mächtige Hintertür zu sein, die mehrere schädliche Aktivitäten auf den kompromittierten Systemen ausführen kann.

Sardonic ist in C++ geschrieben und besteht aus mehreren Komponenten, die anscheinend direkt vor dem Angriff kompiliert wurden. Als ersten Infektionsvektor verwendeten die Hacker höchstwahrscheinlich Social-Engineering-Taktiken und Spear-Phishing-Methoden. Diese Vermutung wird weiter durch die Tatsache gestützt, dass der Initial-Stage-Loader – ein PowerShell-Skript, anscheinend manuell auf die beschädigten Geräte kopiert wurde.

Die Angriffskette durchläuft dann zwei weitere Phasen, die die automatische Bereitstellung eines .NET-Loader- und Downloader-Shellcodes beinhalten, bevor die endgültige Sardonic-Payload ausgeführt wird. Sobald die Bedrohung auf dem System eingerichtet ist, kann sie Informationen vom Gerät abrufen, beliebige Befehle ausführen und über ein Plugin-System zusätzliche Malware-Nutzlasten bereitstellen.