Sardonicバックドア

FIN8サイバーギャングは、新しい攻撃キャンペーンと新しいマルウェアの脅威を武器に戻ってきました。この金銭的に動機付けられた脅威アクターの最新の犠牲者は、米国の金融機関、より具体的には銀行です。攻撃の一環として、FIN8はSardonicと呼ばれるこれまで知られていなかったマルウェアの脅威を展開しました。

FIN8は少なくとも2016年から存在しており、その期間に複数のアクティブな期間が切り替わり、その後比較的休眠状態になりました。非アクティブな間、ハッカーは通常、脅迫的な武器の更新と改善に取り組みます。このグループは、小売、ヘルスケア、エンターテインメント、レストラン、ホスピタリティなど、さまざまな業界の被害者を対象としています。 FIN8の目標は、被害者のPOSシステムから支払いカードデータを収集することです。

Sardonicはまだ開発中です

Sardonicは、選択されたターゲットに対するライブオペレーションで使用されていますが、まだ活発に開発されている兆候があるため、完全に完成したマルウェアの脅威ではありません。それは、侵害されたシステムでいくつかの有害な活動を実行できる強力なバックドアであることを妨げるものではありません。

SardonicはC ++で記述されており、攻撃の直前にコンパイルされたように見えるいくつかのコンポーネントで構成されています。最初の感染ベクトルとして、ハッカーはおそらくソーシャルエンジニアリングの戦術とスピアフィッシング手法を使用していました。この推測は、初期段階のローダー（PowerShellスクリプト）が侵害されたデバイスに手動でコピーされたように見えるという事実によってさらに裏付けられています。

次に、攻撃チェーンは、最終的なSardonicペイロードが実行される前に、.NETローダーとダウンローダーのシェルコードの自動配信を含む他の2つのフェーズを通過します。システム上で確立されると、脅威はデバイスから情報を取得し、任意のコマンドを実行し、プラグインシステムを介して追加のマルウェアペイロードを展開できます。