FIN8-hackers gebruiken Sardonic Backdoor om financiële instellingen te targeten
Bedreigingsactoren hebben verschillende drijfveren en doelen. Sommigen werken voor de hoogste bieder, anderen richten zich op spionage en data-exfiltratie. Er zijn er ook, zoals FIN8, dreigingsactoren wiens motivatie puur financieel is. Meestal gaan deze cybercriminaliteitsgroepen achter bedrijven aan bij individuen die actief zijn in lucratieve sectoren zoals horeca, restaurants en detailhandel. De FIN8-groep is een van de meest gerenommeerde dreigingsactoren met financiële motivatie en onlangs ontketenden ze een nieuwe dreiging, de Sardonic Backdoor.
Eerder gebruikte de FIN8-groep andere op maat gemaakte malware, zoals PoSlurp en BADHATCH. Deze keer gebruiken ze echter een veel geavanceerder implantaat. De Sardonic Backdoor is rijk aan functies en, verrassend genoeg, is het doelwit een grote, in de VS gevestigde financiële organisatie. Het is echter waarschijnlijk dat de FIN8-hackers van plan zijn hun activiteiten in de nabije toekomst uit te breiden. Net als in hun eerdere campagnes streven de criminelen er opnieuw naar om zich zijdelings over het netwerk te verspreiden. Hun uiteindelijke doel is om point-of-sale (PoS)-apparaten te compromitteren en betaalkaartgegevens te exfiltreren.
C++ Sardonic Backdoor steelt financiële gegevens
De payload van Sardonic Backdoor is geschreven in C++ en de criminelen zullen waarschijnlijk spearphishing en social engineering-tactieken gebruiken om het aan hun doelwitten te leveren. Wat betreft de kenmerken van deze Trojan, het kan:
- Voer externe opdrachten uit en stuur de uitvoer terug naar de server van de aanvaller.
- Verzamel hardware-, software- en netwerkgegevens over de geïnfecteerde host.
- Dankzij de modulaire structuur van Sardonic Backdoor kunnen operators de functionaliteit on-the-fly uitbreiden.
De omvang van de Sardonic Backdoor Trojan-aanval is nog niet duidelijk en de situatie ontwikkelt zich nog steeds. Dit betekent uiteraard dat bedrijven in de horeca, de horeca en de detailhandel preventieve maatregelen moeten nemen om het kwaadaardige implantaat te identificeren en te stoppen. Medewerkers leren hoe ze veilig op het web kunnen navigeren en investeren in betrouwbare eindpuntbescherming zou voldoende moeten zijn om kwaadaardige aanvallen zoals die in kwestie af te wenden.