安全研究人员发现FIN8针对金融机构的新后门程序

一个因针对零售业、酒店业和娱乐业而声名狼藉的恶意攻击者被观察到在受感染的系统上部署了一个全新的后门，这表明攻击者正在不断重新调整他们的恶意软件库，以避免被发现和关注。

罗马尼亚网络安全技术公司Bitdefender将这种以前没有记录的恶意软件称为 “Sardonic“，它是在FIN8针对美国一家不知名的金融机构进行的一次不成功的攻击之后，在取证调查中遇到的。

Bitdefender研究人员Eduard Budaca和Victor Vrabie在报告中说：”Sardonic后门非常强大，具有广泛的功能，帮助威胁者在不更新组件的情况下利用新的恶意软件。

自2016年1月出现以来，FIN8利用多种技术，如鱼叉式网络钓鱼和PUNCHTRACK和BADHATCH等恶意软件，从POS系统窃取支付卡数据。

这个威胁组织以在两次活动之间延长休息时间来调整战术并提高行动的成功率而闻名，它主要通过 “靠天吃饭 “的攻击方式进行网络入侵，使用PowerShell等内置工具和界面，以及利用sslip.io等合法服务来掩盖其活动。

今年3月初，比特梵德披露了FIN8在中断一年半后的回归，以美国、加拿大、南非、波多黎各、巴拿马和意大利的保险、零售、技术和化工行业为目标，推出了具有升级功能的BADHATCH植入物版本，包括屏幕捕捉、代理隧道、凭证盗窃和无文件执行。

在该公司分析的最新事件中，据说攻击者已经渗透到目标网络进行详细侦察，然后进行横向移动和权限升级活动，以部署恶意软件的有效载荷。”研究人员说：”有多次尝试在域控制器上部署Sardonic后门，以便继续进行特权升级和横向移动，但恶意命令行被阻止了。

用C++编写的Sardonic不仅采取措施在被攻击的机器上建立持久性，而且还配备了允许它获取系统信息、执行任意命令、加载和执行额外插件的能力，其结果被传送到一个远程攻击者控制的服务器上。

如果说有什么变化的话，那么最新的发展是FIN8通过加强其能力和恶意软件交付基础设施而转变战术的又一迹象。为了减轻与金融恶意软件相关的风险，建议企业将其POS机网络与员工或客人使用的网络分开，培训员工更好地发现钓鱼邮件，并改进电子邮件安全解决方案以过滤潜在的可疑附件。