El grupo delictivo conocido como FIN8, motivado financieramente, ha sido observado utilizando una versión "renovada" de una puerta trasera llamada Sardonic para propagar el ransomware BlackCat.
De acuerdo con el equipo de caza de amenazas de Symantec, parte de Broadcom, este desarrollo representa un intento del grupo de crimen electrónico de diversificar su enfoque y maximizar las ganancias a expensas de entidades infectadas. El intento de intrusión tuvo lugar en diciembre de 2022.
El grupo FIN8 es rastreado por la empresa de ciberseguridad bajo el nombre de Syssphinx. Conocido por estar activo desde al menos 2016, en un principio se le atribuían ataques dirigidos a sistemas de punto de venta (PoS) utilizando malware como PUNCHTRACK y BADHATCH.
El grupo volvió a la actividad después de más de un año en marzo de 2021 con una versión actualizada de BADHATCH, y posteriormente, presentó un nuevo implante personalizado llamado Sardonic, que fue dado a conocer por Bitdefender en agosto de 2021.
"La puerta trasera Sardonic basada en C++ tiene la capacidad de recopilar información del sistema y ejecutar comandos, además, cuenta con un sistema de complementos diseñado para cargar y ejecutar cargas de malware adicionales entregadas como DLL", señaló Symantec.
A diferencia de la variante anterior, que estaba diseñada en C++, la última iteración presenta importantes modificaciones, ya que gran parte del código fuente fue reescrito en C y modificado deliberadamente para evitar similitudes.
En el incidente analizado por Symantec, Sardonic se integra en un script de PowerShell que se despliega en el sistema objetivo una vez que se ha obtenido acceso inicial. El script está diseñado para lanzar un cargador .NET, que posteriormente desencripta y ejecuta un módulo inyector para, finalmente, ejecutar el implante.
"El propósito del inyector es iniciar la puerta trasera en un proceso WmiPrvSE.exe recién creado", explicó Symantec. "Al crear el proceso WmiPrvSE.exe, el inyector intenta iniciarlo en la sesión 0 (mejor esfuerzo) utilizando un token robado del proceso lsass.exe."
Sardonic, además de admitir hasta 10 sesiones interactivas en el host infectado para que el grupo de amenazas ejecute comandos maliciosos, soporta tres formatos de complementos diferentes para ejecutar DLL y shellcode adicionales.
Algunas de las otras características de esta puerta trasera incluyen la capacidad de descargar archivos arbitrarios y extraer contenidos de archivos de la máquina comprometida hacia una infraestructura controlada por el grupo.
Esta no es la primera vez que se detecta a FIN8 utilizando Sardonic en conexión con un ataque de ransomware. En enero de 2022, Lodestone y Trend Micro descubrieron el uso de White Rabbit ransomware, que se basa en Sardonic.
"Syssphinx continúa desarrollando y mejorando sus capacidades e infraestructura de entrega de malware, refinando periódicamente sus herramientas y tácticas para evitar ser detectados", señaló Symantec.
"La decisión del grupo de expandirse desde los ataques a puntos de venta hasta el despliegue de ransomware demuestra la dedicación de los actores de amenazas para maximizar las ganancias de las organizaciones víctimas."
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/Syssphinx-FIN8-backdoor
%2014.04.55.png)
