.jpg)
Tehdit aktörü FIN8, BlackCat fidye yazılımını teslim etmek için Sardonic arka kapısının gözden geçirilmiş bir sürümünü kullanarak bir durgunluğun ardından yeniden dirildi. Bu, grubun sürekli yeniden icat etme modeline uyan, kötü amaçlı yazılım cephaneliğinin bir evrimidir.
Symantec’in “Syssphinx” olarak takip ettiği FIN8, geçmişte kimya, eğlence, finans, konaklama, sigorta, perakende ve teknoloji sektörlerindeki kuruluşları gelişigüzel hedef alan, iyi bilinen, mali güdümlü bir siber suç grubudur.
Genel olarak, hedefleri yakalamak için mızraklı kimlik avı ve sosyal mühendislik ve kötü niyetli faaliyetlerini gizlemek için arazi dışında yaşama taktikleri kullanır.
En son kampanyada Symantec araştırmacıları, FIN8’in ilk olarak 2021’de Bitdefender tarafından bildirilen eski Sardonic arka kapısının yeni bir yinelemesini kullandığını gözlemledi. Yeni Sardonic daha büyük ve farklı, ancak her yönüyle geliştirilmiş olması gerekmiyor.
Araştırmacılar 18 Temmuz’da yayınlanan bir raporda, “Yeniden çalışmalardan bazıları doğal görünmüyor, bu da tehdit aktörlerinin birincil amacının daha önce açıklanan ayrıntılarla benzerliklerden kaçınmak olabileceğini düşündürüyor.”
Yenilenen Sardonic Arka Kapı Kötü Amaçlı Yazılımının İçinde
Bilgisayar korsanları, Sardonic’in 2021’de olduğu gibi, kötü amaçlı yazılımlarını piyasaya çıktıktan sonra, ona uyumlu siber güvenlik savunmalarının yanından geçmek için yeniden yazmayı seçebilir.
Araştırmacılar, bu amaçla, yeni Sardonic arka kapısının ilkine oldukça benzediğini, ancak “arka kapının kodunun çoğunun yeni bir görünüm kazanacak şekilde yeniden yazıldığını” belirtti.
Ancak bu sadece değişiklik olsun diye değişiklik değildir. Örneğin, yeni sürüm daha fazla eklenti biçimini destekleyerek saldırganların esnekliğini ve yeteneklerini genişletiyor.
Symantec Tehdit Avcısı Ekibi’nde istihbarat analisti olan John-Paul Power, Dark Reading’e “Değişikliklerden bazıları yeni özellikler veya iyileştirmeler getiriyor” diyor – daha fazla karartma eklemek gibi.
“Yenilenen arka kapı, orijinal C++ tabanlı Sardonic’te kolayca görülebilen bazı özellikleri karartıyor,” diye açıklıyor. Örneğin, önceki sürüm, şimdi gizlenmiş olan düz metinde birden çok dize içerir.
“[Earlier] analiz ayrıca, orijinal numunelerdeki bazı meta verilerden analizlerine yardımcı olmak için yararlandı ve bu özellikler tarafımızca analiz edilen numunelerde kaldırıldı” diye ekliyor.
Güncellemelerden bazıları, Bitdefender’ın ilk sürümle ilgili erken araştırmasına neredeyse doğrudan bir yanıt gibi görünüyor.
Power, “Bitdefender tarafından eleştirilen birkaç özellik kaldırıldı” diyor. “Örneğin, Bitdefender, RSA kullanımındaki kusurlara dikkat çekti. Symantec tarafından analiz edilen örnek, genel anahtar şemasını şifrelemeden tamamen kaldırıyor.”
Başka bir örnekte Bitdefender, komut tarafından virüslü bir sistem hakkında bilgi toplamak için kullanılan JSON kodlamasıyla ilgili sorunlara dikkat çekti. Power, “Bu komut, sorunlu JSON uygulamasıyla birlikte kaldırıldı” diyor.
Yine de, tüm değişiklikler daha iyi olmadı. “Örneğin,” Symantec araştırmacıları bu hafta bloglarında şöyle yazdılar, “ağ üzerinden mesaj gönderirken, mesajın nasıl yorumlanacağını belirten işlem kodu, mesajın değişken kısmından sonra taşındı, bu değişiklik bazı karışıklıklar ekledi. arka kapı mantığı.”
FIN8: Sürekli Gelişen Kötü Amaçlı Yazılım Üzerine Bir Araştırma
FIN8, 100’den fazla kuruluşta satış noktası (PoS) sistemlerini tehlikeye atarak sahneye çıktığı en az 2016’dan beri ortalıkta. O zamandan bu yana grup, her seferinde araçlarını ayarlayarak spot ışığına girip çıktı.
Örneğin, on yılın başında, PoS sistemlerinden kredi kartı verilerini toplamaktan, siber suç çetesi Viking Spider tarafından geliştirilen Ragnar Locker gibi fidye yazılımlarını dağıtmaya geçiş yaptı.
Araştırmacılar 18 Temmuz’da “Syssphinx grubunun fidye yazılımına geçişi, tehdit aktörlerinin güvenliği ihlal edilmiş kuruluşlardan elde ettikleri kârı en üst düzeye çıkarmak için odaklarını çeşitlendiriyor olabileceklerini gösteriyor.” isim (diğer adıyla ALPHV).
FIN8, görünüşe göre arka kapıları üzerinde çalışarak yıllar içinde daha da fazla zaman harcadı. İlki “Badhatch” ilk olarak 2019’da gözlemlendi ve grup takip eden iki yılın her birinde onu yineledi. Bunu Ağustos 2021’de Sardonic izledi.
C++ tabanlı kötü amaçlı yazılım, komut yürütme ve kimlik bilgileri toplama yetenekleri ile ek kötü amaçlı yazılım yüklerini dinamik bağlantı kitaplıkları (DLL’ler) olarak indirmek için bir eklenti sistemi ile donatılmış olarak geldi.
Power, FIN8’in sık sık değişen kötü amaçlı yazılımlarına karşı sertleşmek için katmanlı algılama ve koruma araçları, çok faktörlü kimlik doğrulama (MFA) ve erişim kontrollerini içeren standart bir derinlemesine savunma stratejisi önerir.
Power, “Kuruluşlar ayrıca, yönetici kimlik bilgilerinin çalınmasını ve kötüye kullanılmasını önlemek ve yönetici araçları için kullanım profilleri oluşturmak amacıyla idari işler için tek seferlik kimlik bilgileri sunabilir. Bu araçların çoğu, saldırganlar tarafından bir ağ üzerinden yanal olarak fark edilmeden hareket etmek için kullanılır.” .