Finansal olarak motive olmuş bir siber suç çetesinin, yenilenmiş bir Sardonic kötü amaçlı yazılım sürümü kullanarak arka kapılı ağlarda BlackCat fidye yazılımı yüklerini dağıttığı gözlemlendi.
FIN8 (diğer adıyla Syssphinx) olarak izlenen bu tehdit aktörü, perakende, restoranlar, konaklama, sağlık ve eğlence gibi sektörleri hedeflemeye odaklanarak en az Ocak 2016’dan beri aktif olarak faaliyet gösteriyor.
FireEye tarafından ilk kez tespit edilip bir tehdit grubu olarak etiketlendiklerinden beri FIN8, düzensiz yapıları ile karakterize edilen birçok büyük ölçekli kampanyayla ilişkilendirildi. Ancak saldırıları çok sayıda kuruluşu etkiledi ve arkalarında yüzlerce kurbanın ayak izlerini bıraktı.
Bu tehdit aktörü tarafından kullanılan cephanelik, BadHatch, PoSlurp/PunchTrack ve PowerSniff/PunchBuggy/ShellTea gibi POS kötü amaçlı yazılım türlerinin yanı sıra Windows sıfır gün güvenlik açıklarından ve spear’dan yararlanma dahil olmak üzere çok çeşitli araçları ve taktikleri kapsayan kapsamlıdır. -kimlik avı kampanyaları.
Ayrıca BadHatch’ten, onu 2021’de keşfeden Bitdefender güvenlik araştırmacılarına göre bilgi toplayabilen, komutları yürütebilen ve DLL eklentileri olarak ek kötü amaçlı modüller dağıtabilen Sardonic olarak bilinen C++ tabanlı bir arka kapıya geçtiler.
Symantec’in Tehdit Avcısı Ekibi, Aralık 2022 saldırılarında devreye alınan bu arka kapının yenilenmiş bir sürümünü gözlemledi; bu, Bitdefender tarafından keşfedilen sürümle aynı işlevleri paylaşan bir varyant.
“Ancak, arka kapı kodunun çoğu yeniden yazıldı, öyle ki yeni bir görünüm kazandı. İlginç bir şekilde, arka kapı kodu artık C++ standart kitaplığını kullanmıyor ve nesne yönelimli özelliklerin çoğu düz bir C uygulamasıyla değiştirildi.” Symantec dedi.
“Ayrıca, yeniden çalışmalardan bazıları doğal görünmüyor, bu da tehdit aktörlerinin birincil amacının daha önce açıklanan ayrıntılarla benzerliklerden kaçınmak olabileceğini düşündürüyor. Bilinen Syssphinx teknikleri hala kullanıldığı için bu hedef yalnızca arka kapıyla sınırlı görünüyordu.”
Fidye yazılımı yoluyla kârı en üst düzeye çıkarma
Saldırılarının nihai hedefi, Satış Noktası (POS) sistemlerinden ödeme kartı verilerini çalmak olsa da, FIN8 karı maksimize etmek için satış noktasından fidye yazılımı saldırılarına kadar genişledi.
Örneğin, Symantec’e göre çetenin ilk kez Haziran 2021’de Amerika Birleşik Devletleri’ndeki bir finansal hizmetler şirketinin güvenliği ihlal edilmiş sistemlerine fidye yazılımı (Ragnar Locker yükleri) dağıttığı görüldü.
Altı ay sonra, Ocak 2022’de, araştırmacılar fidye yazılımının dağıtım aşamasını analiz ederken çetenin altyapısına bağlantılar keşfettikten sonra, White Rabbit fidye yazılımı da FIN8 ile ilişkilendirildi. Ayrıca Sardonic arka kapısı, White Rabbit fidye yazılımı saldırıları sırasında da kullanıldı ve onları FIN8’e daha fazla bağladı.
Daha yakın tarihli bir gelişmede Symantec, yeni Sardonic kötü amaçlı yazılım varyantının kullanıldığı Aralık 2022 saldırılarında BlackCat (aka ALPHV) fidye yazılımını dağıtan FIN8 bilgisayar korsanlarını da tespit etti.
Symantec, “Syssphinx, tespit edilmekten kaçınmak için araçlarını ve taktiklerini düzenli aralıklarla iyileştirerek, yeteneklerini ve kötü amaçlı yazılım dağıtım altyapısını geliştirmeye ve iyileştirmeye devam ediyor” dedi.
“Grubun satış noktası saldırılarından fidye yazılımı dağıtımına doğru genişleme kararı, tehdit aktörlerinin kurban kuruluşlardan elde ettikleri kârı en üst düzeye çıkarmaya olan bağlılığını gösteriyor.”