Se ha observado que el actor de amenazas con motivaci\u00f3n financiera conocido como FIN8 usa una versi\u00f3n “renovada” de una puerta trasera llamada Sard\u00f3nico<\/strong> para entregar el ransomware BlackCat.<\/p>\n Seg\u00fan el Symantec Threat Hunter Team, parte de Broadcom, el desarrollo es un intento por parte del grupo de cibercrimen de diversificar su enfoque y maximizar las ganancias de las entidades infectadas. El intento de intrusi\u00f3n tuvo lugar en diciembre de 2022.<\/p>\n FIN8 est\u00e1 siendo rastreado por la compa\u00f1\u00eda de ciberseguridad bajo el nombre de Syssphinx. Conocido por estar activo desde al menos 2016, el adversario se atribuy\u00f3 originalmente a ataques dirigidos a sistemas de punto de venta (PoS) utilizando malware como PUNCHTRACK y BADHATCH.<\/p>\n El grupo resurgi\u00f3 despu\u00e9s de m\u00e1s de un a\u00f1o en marzo de 2021 con una versi\u00f3n actualizada de BADHATCH, seguida de un implante personalizado completamente nuevo llamado Sardonic, que Bitdefender revel\u00f3 en agosto de 2021.<\/p>\n “La puerta trasera Sardonic basada en C++ tiene la capacidad de recopilar informaci\u00f3n del sistema y ejecutar comandos, y tiene un sistema de complementos dise\u00f1ado para cargar y ejecutar cargas \u00fatiles de malware adicionales entregadas como archivos DLL”, Symantec dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n A diferencia de la variante anterior, que fue dise\u00f1ada en C++, los \u00faltimos paquetes de iteraci\u00f3n presentan alteraciones significativas, con la mayor parte del c\u00f3digo fuente reescrito en C y modificado para evitar similitudes deliberadamente.<\/p>\n En el incidente analizado por Symantec, Sardonic est\u00e1 integrado en un script de PowerShell que se implement\u00f3 en el sistema objetivo despu\u00e9s de obtener el acceso inicial. La secuencia de comandos est\u00e1 dise\u00f1ada para iniciar un cargador .NET, que luego descifra y ejecuta un m\u00f3dulo inyector para finalmente ejecutar el implante.<\/p>\n “El prop\u00f3sito del inyector es iniciar la puerta trasera en un proceso WmiPrvSE.exe reci\u00e9n creado”, explic\u00f3 Symantec. \u201cAl crear el Proceso WmiPrvSE.exe<\/a>el inyector intenta iniciarlo en la sesi\u00f3n 0 (mejor esfuerzo) utilizando un token robado del proceso lsass.exe”.<\/p>\n Sardonic, adem\u00e1s de admitir hasta 10 sesiones interactivas en el host infectado para que el actor de amenazas ejecute comandos maliciosos, admite tres formatos de complemento diferentes para ejecutar DLL y shellcode adicionales.<\/p>\n Prot\u00e9jase contra las amenazas internas: Domine la gesti\u00f3n de la postura de seguridad de SaaS<\/p>\n <\/a><\/p>\n \u00bfPreocupado por las amenazas internas? \u00a1Te tenemos cubierto! \u00danase a este seminario web para explorar estrategias pr\u00e1cticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.<\/p>\n