金銭目的のサイバー犯罪集団が、改良された Sardonic マルウェア バージョンを使用してバックドアを導入したネットワーク上に BlackCat ランサムウェア ペイロードを展開しているのが観察されました。
FIN8 (別名 Syssphinx) として追跡されているこの攻撃者は、少なくとも 2016 年 1 月以降、小売、レストラン、接客業、ヘルスケア、エンターテイメントなどの業界をターゲットに重点的に活動しています。
FIN8 は、FireEye によって最初に発見され、脅威グループとしてタグ付けされて以来、散発的な性質を特徴とする多くの大規模キャンペーンと関連付けられてきました。しかし、彼らの攻撃は多数の組織に影響を及ぼし、 数百人の犠牲者の足跡を残しています。
この脅威アクターが使用する武器は広範囲にわたり、 BadHatch 、 PoSlurp/PunchTrack 、 PowerSniff/PunchBuggy/ShellTeaなどの POS マルウェア株、 Windows のゼロデイ脆弱性やスピアの悪用など、幅広いツールや戦術を網羅しています。 -フィッシングキャンペーン。
また、BadHatch からSardonic として知られる C++ ベースのバックドアに切り替えました。2021 年に発見した Bitdefender のセキュリティ研究者によると、このバックドアは情報を収集し、コマンドを実行し、追加の悪意のあるモジュールを DLL プラグインとして展開することができます。
シマンテックの脅威ハンター チームは、2022 年 12 月の攻撃で導入されたこのバックドアの改良版を観察しました。これは、Bitdefender によって発見されたバージョンと機能を共有する亜種です。
「しかし、バックドアのコードの大部分は書き直され、見た目が新しくなりました。興味深いことに、バックドアのコードは C++ 標準ライブラリを使用しなくなり、オブジェクト指向機能のほとんどが単純な C 実装に置き換えられました。」 シマンテック社はこう述べた。
「さらに、一部の再加工は不自然に見え、攻撃者の主な目的が、以前に公開された詳細との類似性を避けることである可能性があることを示唆しています。既知の Syssphinx 技術が依然として使用されていたため、この目的はバックドア自体に限定されているように見えました。」
ランサムウェアによる利益の最大化
彼らの攻撃の最終目標は販売時点情報管理 (POS) システムからペイメント カード データを盗むことを中心としていますが、FIN8 は利益を最大化するために販売時点管理からランサムウェア攻撃にまで範囲を広げています。
たとえば、シマンテックによると、このギャングは 2021 年 6 月に初めて、米国の金融サービス会社の侵害されたシステムにランサムウェア ( Ragnar Lockerペイロード) を展開しているのが確認されました。
6 か月後の 2022 年 1 月、研究者がランサムウェアの展開段階を分析した際にギャングのインフラストラクチャへのリンクを発見したため、White Rabbit ランサムウェアも FIN8 にリンクされていました。さらに、Sardonic バックドアはWhite Rabbit ランサムウェア攻撃にも使用され、FIN8 とさらにリンクされました。
さらに最近の展開として、シマンテックは、2022 年 12 月の攻撃で、新しい Sardonic マルウェア亜種が使用された攻撃で、BlackCat (別名 ALPHV) ランサムウェアを展開している FIN8 ハッカーを発見しました。
「Syssphinxは、その機能とマルウェア配信インフラストラクチャの開発と改善を継続し、検出を回避するためのツールと戦術を定期的に改良している」とシマンテックは述べた。
「POS攻撃からランサムウェアの展開まで拡大するというこのグループの決定は、被害者組織からの利益を最大化しようとする脅威アクターの献身的な姿勢を示しています。」
Comments