FIN8 triển khai ransomware ALPHV bằng biến thể phần mềm độc hại Sardonic

Tác nhân đe dọa này được đặt tên là FIN8 (hay còn gọi là Syssphinx), đã hoạt động liên tục ít nhất là từ tháng 1 năm 2016, nhắm mục tiêu tập trung vào các ngành như bán lẻ, nhà hàng, khách sạn, chăm sóc sức khỏe và giải trí.

Kể từ lần đầu chúng bị FireEye phát hiện và gắn thẻ là một nhóm đe dọa, FIN8 đã liên kết với nhiều chiến dịch quy mô lớn được đặc trưng bởi tính chất lẻ tẻ của chúng. Tuy nhiên, các cuộc tấn công của chúng đã ảnh hưởng đến nhiều tổ chức, để lại dấu vết mạng của hàng trăm nạn nhân.

Nhóm tin tặc này sử dụng nhiều công cụ và chiến thuật, bao gồm các chủng phần mềm độc hại POS như BadHatch, PoSlurp/PunchTrack và PowerSniff/PunchBuggy/ShellTea, cũng như việc khai thác lỗ hổng zero-day của Windows và các chiến dịch lừa đảo (spear-phishing)

Họ cũng đã chuyển từ BadHatch sang một backdoor dựa trên C++ được gọi là Sardonic, theo các nhà nghiên cứu bảo mật Bitdefender, những người đã phát hiện ra chúng vào năm 2021, có thể thu thập thông tin, thực thi lệnh và triển khai các mô-đun độc hại bổ sung dưới dạng plugin DLL.

Nhóm Threat Hunter của Symantec đã quan sát thấy một phiên bản cải tiến của backdoor này được triển khai trong các cuộc tấn công vào tháng 12 năm 2022, một biến thể có chung chức năng với phiên bản do Bitdefender phát hiện.

"Tuy nhiên, hầu hết mã của backdoor đã được viết lại để tạo diện mạo mới. Điều thú vị là mã  backdoor không còn sử dụng thư viện chuẩn C++ và hầu hết các tính năng hướng đối tượng (object-oriented) đã được thay thế bằng triển khai C đơn giản." Symantec cho biết.

"Ngoài ra, một số hoạt động của chúng trông không được tự nhiên, điều này cho thấy mục tiêu chính của nhóm tin tặc nhằm tránh sự tương đồng với các chi tiết đã tiết lộ trước đó. Mục tiêu này dường như chỉ giới hạn ở chính backdoor, vì các kỹ thuật Syssphinx đã biết vẫn được sử dụng."

Tối đa hóa lợi nhuận thông qua ransomware

Trong khi mục tiêu cuối cùng của các cuộc tấn công xoay quanh việc đánh cắp dữ liệu thẻ thanh toán từ hệ thống Điểm bán hàng (POS), FIN8 đã mở rộng từ điểm bán hàng sang tấn công ransomware để tối đa hóa lợi nhuận.

Chẳng hạn, theo Symantec, băng nhóm này lần đầu tiên được phát hiện vào tháng 6 năm 2021 khi triển khai ransomware (payload Ragnar Locker) trên các hệ thống bị xâm nhập của một công ty dịch vụ tài chính ở Hoa Kỳ.

Sáu tháng sau, tháng 1 năm 2022, phần mềm tống tiền White Rabbit cũng được liên kết với FIN8 sau khi các nhà nghiên cứu phát hiện ra các liên kết đến cơ sở hạ tầng của băng nhóm khi phân tích giai đoạn triển khai của phần mềm tống tiền. Ngoài ra, backdoor Sardonic cũng được sử dụng trong các cuộc tấn công ransomware White Rabbit, liên kết chúng với FIN8.

Trong một diễn biến gần đây hơn, Symantec cũng đã phát hiện ra tin tặc FIN8 đang triển khai phần mềm tống tiền BlackCat (còn gọi là ALPHV) trong các cuộc tấn công vào tháng 12 năm 2022, nơi biến thể phần mềm độc hại Sardonic mới được sử dụng.

Symantec cho biết: “Syssphinx tiếp tục phát triển và cải thiện khả năng cũng như cơ sở hạ tầng phân phối phần mềm độc hại, tinh chỉnh định kỳ các công cụ và chiến thuật của mình để tránh bị phát hiện”.

"Quyết định của nhóm tin tặc mở rộng từ các cuộc tấn công điểm bán hàng sang việc triển khai ransomware thể hiện sự cống hiến của các tác nhân đe dọa nhằm tối đa hóa lợi nhuận từ các tổ chức nạn nhân."

Nguồn: bleepingcomputer.com