L’acteur de menace à motivation financière suivi comme FIN8 a ajouté une nouvelle porte dérobée puissante à son arsenal et l’utilise déjà dans des attaques dans la nature, selon des chercheurs de la société de sécurité des terminaux Bitdefender.

Actif depuis au moins 2016, FIN8 s’est fait une réputation avec le ciblage des systèmes de point de vente, mais semble avoir renforcé son portefeuille avec un utilitaire plus puissant.

Appelé Sardonic, le nouveau malware se compose de plusieurs composants, dont la porte dérobée elle-même, un chargeur et quelques scripts. Toujours en cours de développement, Sardonic a été observé dans la nature avec ses composants compilés juste avant son lancement, selon Bitdefender.

FIN8 est connu pour l’utilisation de tactiques de spear-phishing et d’ingénierie sociale pour l’accès initial au réseau d’une victime, et la même chose pourrait également avoir été utilisée dans cette attaque. Ensuite, l’adversaire effectue une reconnaissance et un mouvement latéral, complétés par une escalade de privilèges.

Les attaquants ont utilisé le chargeur BADHATCH au cours de ces étapes, puis ont tenté de déployer la porte dérobée Sardonic sur les contrôleurs de domaine pour se propager davantage sur le réseau.

[ READ: New Version of ShellTea Backdoor Used by FIN8 Hacking Group ]

Le déploiement commence par l’exécution du chargeur Sardonic, très probablement dans le cadre d’un processus manuel. Le chargeur atteindrait la persistance à l’aide de WMI (Windows Management Instrumentation). Cependant, Bitdefender note qu’il ne tente pas la persistance, mais s’assure que la prochaine étape est exécutée au démarrage, qui à son tour exécute le shellcode responsable de la récupération et de l’exécution de la porte dérobée Sardonic.

Écrit en C++, le malware peut collecter des informations système, exécuter des commandes fournies, et peut également charger des DLL spécialement conçues et exécuter leurs fonctions, grâce à un système de plug-in destiné à étendre ses capacités.

Lors de son analyse de Sardonic, Bitdefender a également identifié une série de commandes dont l’exécution n’a pas été…