Malware “Sardonic” memungkinkan penyerang untuk memperluas fungsinya tanpa harus memperbarui komponen.
Kelompok ancaman persisten tingkat lanjut FIN8 yang termotivasi secara finansial telah muncul kembali, kali ini ia mengemas jenis malware baru dengan serangan yang lebih bahaya.
Peneliti dari Bitdefender menemukan backdoor saat menyelidiki percobaan serangan terhadap salah satu pelanggannya dan menamainnya “Sardonic.”
Dalam laporan baru, vendor keamanan menggambarkan backdoor baru sebagai ancaman yang sangat kuat dengan berbagai kemampuan yang memungkinkan penyerang untuk mengirimkan alat malware sesuai kebutuhan pada jaringan korban tanpa memperbarui komponen.
Bogdan “Bob” Botezatu, di Bitdefender, mengatakan bacdoor Sardonic dirancang untuk memberi aktor FIN8 cara untuk dengan cepat meningkatkan kemampuan serangan yang sedang berlangsung.
Toolkit FIN8 sejauh ini bersifat statis, artinya setelah alat dikirimkan sesuai target, ada alat baru yang masuk ke sistem menjadi sulit tanpa menimbulkan ada tanda bahaya.
Sardonic dapat memperbaiki masalah ini dengan menawarkan penyerang cara untuk menyebarkan fungsionalitas baru dalam bentuk modul yang dijalankan langsung di memori.
Pendekatan ini mengurangi kemungkinan aktivitas jahat yang memicu perhatian yang tidak diinginkan dari alat pendeteksi ancaman, kata Botezatu.
“Sardonic memungkinkan penyerang bisa menyesuaikan diri dengan lingkungan dan kemampuan yang ada dengan mengizinkan pemasangan malware tambahan,” katanya.
“Cara ini sangat ideal untuk skenario di mana penyerang menyadari bahwa beberapa alat [yang] direncanakan untuk digunakan tidak diizinkan, karena kebijakan lokal atau konfigurasi lokal yang membantu penyerang untuk memperbarui kemampuan Sardonic dengan cepat.”
Kelompok ancaman FIN8 telah diamati dengan menargetkan perusahaan di sektor ritel, perhotelan, restoran dan lainnyai sejak awal 2016.
Kelompok ini telah dikaitkan dengan berbagai serangan terhadap jaringan Point of Sale (POS) milik perusahaan di sektor yang ditargetkan.
Pada Desember 2019, Visa mengeluarkan peringatan tentang kelompok yang menyerang jaringan PoS milik dua pedagang pompa bensin Amerika Utara dan satu perusahaan di sektor perhotelan.
Penasihat tersebut menggambarkan serangan FIN8 sebagai serangan yang canggih dan berbeda dari serangan skimming kartu biasa di terminal PoS, karena mereka menargetkan sistem back-end yang digunakan perusahaan korban untuk memproses transaksi kartu.
Taktik FIN8 yang biasa melibatkan pengiriman malware melalui email spear-phishing yang dibuat dengan hati-hati.
Namun, Bitdefender mengatakan bagaimana kelompok tersebut memperoleh akses awal ke jaringan dalam serangan terbarunya.
Investigasi vendor keamanan menunjukkan pelaku ancaman telah berhasil mengkompromikan setidaknya dua akun pengguna.
Begitu mereka mendapatkan akses ke jaringan, penyerang melakukan pengintaian jaringan dan menggunakan utilitas Windows WMIC untuk gerakan lateral.
Sebagai bagian dari rantai serangan, FIN8 menggunakan versi baru dan lebih baik dari BADHATCH, backdoor canggih yang telah digunakan dalam berbagai serangan terhadap perusahaan di berbagai industri di AS, Kanada, Italia, Afrika Selatan dan negara lainnya.
Botezatu mengatakan fungsi utama Sardonic adalah melakukan pengintaian jaringan, pengumpulan informasi, pergerakan lateral dan eskalasi hak istimewa hingga penyerang mencapai jaringan atau perangkat target.
“Backdoor Sardonic membantu penyerang mendapatkan ketangguhan dan kelincahan karena mendukung penyebaran modul baru hanya dengan mengeluarkan perintah.”
Analisis Bitdefender menunjukkan bahwa Sardonic berbahaya dan kemungkinan masih dalam pengembangan.
Kesimpulan itu didasarkan pada fakta bahwa backdoor mendukung beberapa perintah yang belum diimplementasikan dan kemungkinan akan tersedia di backdoor versi mendatang, kata Botezatu.
“Sementara BADHATCH lebih matang dan memiliki lebih banyak fitur, backdoor Sardonic menggunakan arsitektur plug-in yang memungkinkan penyerang untuk memperluas fungsinya tanpa harus memperbarui malware dan menginfeksi ulang target.”
Penyebaran backdoor Fin8 lewat pergerakan lateral bisa dideteksi oleh Bitdefender dengan fitur Network Attack Defense
Network Attack Defense merupakan teknologi canggih yang berfokus pada pendeteksian teknik serangan jaringan dan dirancang untuk mendapatkan akses pada endpoint tertentu, seperti serangan brute force, eksploitasi jaringan, dan pencuri password.
Recent Comments