Se ha observado que el actor de amenazas con motivación financiera conocido como FIN8 usa una versión «renovada» de una puerta trasera llamada Sardónico para entregar el ransomware BlackCat.
Según el Symantec Threat Hunter Team, parte de Broadcom, el desarrollo es un intento por parte del grupo de cibercrimen de diversificar su enfoque y maximizar las ganancias de las entidades infectadas. El intento de intrusión tuvo lugar en diciembre de 2022.
FIN8 está siendo rastreado por la compañía de ciberseguridad bajo el nombre de Syssphinx. Conocido por estar activo desde al menos 2016, el adversario se atribuyó originalmente a ataques dirigidos a sistemas de punto de venta (PoS) utilizando malware como PUNCHTRACK y BADHATCH.
El grupo resurgió después de más de un año en marzo de 2021 con una versión actualizada de BADHATCH, seguida de un implante personalizado completamente nuevo llamado Sardonic, que Bitdefender reveló en agosto de 2021.
«La puerta trasera Sardonic basada en C++ tiene la capacidad de recopilar información del sistema y ejecutar comandos, y tiene un sistema de complementos diseñado para cargar y ejecutar cargas útiles de malware adicionales entregadas como archivos DLL», Symantec dicho en un informe compartido con The Hacker News.
A diferencia de la variante anterior, que fue diseñada en C++, los últimos paquetes de iteración presentan alteraciones significativas, con la mayor parte del código fuente reescrito en C y modificado para evitar similitudes deliberadamente.
En el incidente analizado por Symantec, Sardonic está integrado en un script de PowerShell que se implementó en el sistema objetivo después de obtener el acceso inicial. La secuencia de comandos está diseñada para iniciar un cargador .NET, que luego descifra y ejecuta un módulo inyector para finalmente ejecutar el implante.
«El propósito del inyector es iniciar la puerta trasera en un proceso WmiPrvSE.exe recién creado», explicó Symantec. “Al crear el Proceso WmiPrvSE.exeel inyector intenta iniciarlo en la sesión 0 (mejor esfuerzo) utilizando un token robado del proceso lsass.exe».
Sardonic, además de admitir hasta 10 sesiones interactivas en el host infectado para que el actor de amenazas ejecute comandos maliciosos, admite tres formatos de complemento diferentes para ejecutar DLL y shellcode adicionales.
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
Algunas de las otras características de la puerta trasera incluyen la capacidad de eliminar archivos arbitrarios y filtrar el contenido de los archivos de la máquina comprometida a una infraestructura controlada por el actor.
Esta no es la primera vez que se detecta FIN8 usando Sardonic en relación con un ataque de ransomware. En enero de 2022, Lodestone y Trend Micro descubrieron el uso del ransomware White Rabbit por parte de FIN8, que, en sí mismo, se basa en Sardonic.
«Syssphinx continúa desarrollando y mejorando sus capacidades e infraestructura de entrega de malware, refinando periódicamente sus herramientas y tácticas para evitar la detección», dijo Symantec.
«La decisión del grupo de expandirse de los ataques en el punto de venta al despliegue de ransomware demuestra la dedicación de los actores de amenazas para maximizar las ganancias de las organizaciones víctimas».