Эволюция FIN8: от взлома банковских терминалов до распространения вымогательского софта

Исследователи кибербезопасности обнаружили, что известная группа хакеров, мотивированных финансовой выгодой, использует новую версию вредоносной программы Sardonic для взлома сетей и распространения вымогательского ПО BlackCat, производства киберпреступной банды ALPHV.

Группировка FIN8, также известная как Syssphinx, активно действует с января 2016 года и специализируется на атаках на отрасли розничной торговли, ресторанного бизнеса, гостиничного сервиса, здравоохранения и развлечений.

С момента первого обнаружения этой группы компанией FireEye, FIN8 была связана с множеством крупномасштабных кампаний, характеризующихся своим нерегулярным характером. Тем не менее, атаки FIN8 существенно повлияли на множество организаций, оставив след из сотен жертв.

Арсенал, используемый этой группой, весьма обширен и включает в себя широкий спектр инструментов и тактик, таких как вредоносные программы для POS-терминалов (BadHatch, PoSlurp/PunchTrack и PowerSniff/PunchBuggy/ShellTea), а также эксплуатацию уязвимостей Windows и фишинговые кампании.

Позже хакеры перешли от BadHatch к бэкдору на базе C++, известному как Sardonic, который, по данным исследователей безопасности из Bitdefender, обнаруживших его ещё в 2021 году , может собирать информацию, выполнять команды и разворачивать дополнительные злонамеренные модули в виде DLL-плагинов.

Команда охотников за угрозами Symantec заметила обновлённую версию этого бэкдора в атаках, датированных декабрём 2022 года, о чём сообщила в сегодняшнем отчёте . Эта версия имеет много общих функции с версией, обнаруженной Bitdefender, однако большая часть кода бэкдора была переписана таким образом, что он приобрёл новый вид.

«Интересно, что код бэкдора больше не использует стандартную библиотеку C++, а большинство объектно-ориентированных возможностей были заменены простой реализацией на C», — сообщили исследователи Symantec.

«Кроме того, некоторые переработки выглядят неестественно, что указывает на то, что основная цель злоумышленников могла быть в том, чтобы избежать сходства с ранее раскрытыми деталями вредоноса. Причём эта цель касалась лишь самого бэкдора, поскольку известные методы группировки по-прежнему использовались в новых атаках», — добавили специалисты.

Хотя конечной целью их атак является кража данных платёжных карт с POS-систем, FIN8 расширила свою деятельность от атак на POS-терминалы до атак с использованием вымогательского ПО для максимизации прибыли. Например, по данным Symantec, впервые в июне 2021 года FIN8 была замечена в распространении вымогательского программного обеспечения Ragnar Locker на скомпрометированных системах финансовой компании в США.

Шесть месяцев спустя, в январе 2022 года, использование вымогательского софта White Rabbit также было связано с FIN8 после того, как исследователи обнаружили связь с инфраструктурой группы при анализе этапа развёртывания вредоносного ПО. Кроме того, бэкдор Sardonic также использовался во время атак с использованием вымогательского ПО White Rabbit, что дополнительно связывает их с FIN8.

В последних атаках группировки, зафиксированных в декабре прошлого года, Symantec также обнаружила, что хакеры FIN8 распространяли вымогательское ПО BlackCat, где и использовалась новая версия вредоносной программы Sardonic.

«Syssphinx продолжает развивать и улучшать свои возможности и инфраструктуру доставки вредоносного ПО, периодически усовершенствуя свои инструменты и тактики, чтобы избежать обнаружения», — рассказали специалисты Symantec.

«Решение группы расшириться от атак на POS-терминалы до распространения вымогательского ПО демонстрирует преданность злоумышленников максимизации прибыли от организаций-жертв», — подытожили исследователи.