L’acteur menaçant à motivation financière connu sous le nom de FIN8 a été observé en train d’utiliser une version « remaniée » d’une porte dérobée appelée Sardonique pour livrer le rançongiciel BlackCat.
Selon l’équipe Symantec Threat Hunter, qui fait partie de Broadcom, le développement est une tentative de la part du groupe de cybercriminalité de diversifier ses objectifs et de maximiser les profits des entités infectées. La tentative d’intrusion a eu lieu en décembre 2022.
FIN8 est suivi par la société de cybersécurité sous le nom de Syssphinx. Connu pour être actif depuis au moins 2016, l’adversaire était à l’origine attribué à des attaques ciblant les systèmes de points de vente (PoS) utilisant des logiciels malveillants tels que PUNCHTRACK et BADHATCH.
Le groupe a refait surface après plus d’un an en mars 2021 avec une version mise à jour de BADHATCH, suivie d’un tout nouvel implant sur mesure appelé Sardonic, qui a été divulgué par Bitdefender en août 2021.
« La porte dérobée Sardonic basée sur C++ a la capacité de collecter des informations système et d’exécuter des commandes, et dispose d’un système de plug-in conçu pour charger et exécuter des charges utiles de logiciels malveillants supplémentaires fournies sous forme de DLL », a déclaré Symantec. a dit dans un rapport partagé avec The Hacker News.
Contrairement à la variante précédente, qui a été conçue en C ++, la dernière itération contient des modifications importantes, la plupart du code source étant réécrit en C et modifié de manière à éviter délibérément les similitudes.
Dans l’incident analysé par Symantec, Sardonic est intégré dans un script PowerShell qui a été déployé dans le système ciblé après avoir obtenu l’accès initial. Le script est conçu pour lancer un chargeur .NET, qui décrypte et exécute ensuite un module d’injection pour finalement exécuter l’implant.
« Le but de l’injecteur est de démarrer la porte dérobée dans un processus WmiPrvSE.exe nouvellement créé », a expliqué Symantec. « Lors de la création du Processus WmiPrvSE.exel’injecteur tente de le démarrer en session-0 (meilleur effort) à l’aide d’un jeton volé au processus lsass.exe. »
Sardonic, en plus de prendre en charge jusqu’à 10 sessions interactives sur l’hôte infecté pour que l’acteur de la menace exécute des commandes malveillantes, prend en charge trois formats de plug-in différents pour exécuter des DLL et des shellcodes supplémentaires.
Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS
Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.
Certaines des autres fonctionnalités de la porte dérobée incluent la possibilité de déposer des fichiers arbitraires et d’exfiltrer le contenu des fichiers de la machine compromise vers une infrastructure contrôlée par l’acteur.
Ce n’est pas la première fois que FIN8 est détecté en utilisant Sardonic dans le cadre d’une attaque de ransomware. En janvier 2022, Lodestone et Trend Micro ont découvert l’utilisation par FIN8 du rançongiciel White Rabbit, qui, en soi, est basé sur Sardonic.
« Syssphinx continue de développer et d’améliorer ses capacités et son infrastructure de diffusion de logiciels malveillants, affinant périodiquement ses outils et ses tactiques pour éviter la détection », a déclaré Symantec.
« La décision du groupe de passer des attaques aux points de vente au déploiement de ransomwares démontre l’engagement des acteurs de la menace à maximiser les profits des organisations victimes. »