FIN8黑客组织的最新动态

关键要点

FIN8黑客组织最近观察到正在部署一种改进版的Sardonic后门恶意软件，随着其对勒索病毒攻击的重视程度加深。该组织自2016年1月起活跃，以针对酒店、零售、娱乐、保险、科技、化学和金融等行业的组织而闻名。

最初，FIN8专注于销售点POS攻击了解更多。然而，近年来，它在攻击中使用了多种勒索病毒威胁。

在周二发布的研究报告中，赛门铁克的威胁猎捕团队表示，他们跟踪的该组织，名为Syssphinx，观察到该组织正在部署新的Sardonic后门恶意软件变种，以传播BlackCat勒索病毒又名ALPHV和Noberus。社交工程和鱼叉式钓鱼是该组织惯用的初始攻击策略。

“该组织以利用所谓的生存策略而著称，利用诸如PowerShell和WMIWindows管理工具等内置工具和接口，并滥用合法服务来掩盖其活动，”研究人员写道。

该组织进军勒索病毒领域“表明这些威胁行为者可能在多样化其攻击重点，以最大化从受害组织中获得的利润”。

FIN8最早于2021年6月在攻击中使用勒索病毒。2022年1月，White Rabbit勒索病毒家族被与该组织关联，而2022年12月，赛门铁克观察到FIN8部署了BlackCat勒索病毒。

与许多网络犯罪小组一样，FIN8据信位于东欧的独立国家联合体地区以在攻击活动之间暂停较长时间而闻名，利用这段时间改进其战术、技术和程序。

这种做法体现在它近年来对后门恶意软件使用的进化中。2019年，它使用了Badhatch后门，并于2020年12月和2021年1月进行了更新。而在2021年，Bitdefender的研究人员将一种更新的后门Sardonic与该组织关联起来。

赛门铁克表示，他们在2022年12月观察到的最新攻击中，FIN8利用了经过“重新修订”的Sardonic，其中“大部分后门的特性已被更改，以赋予其新外观”。

为什么重新设计后门？

Sardonic后门是用C编写的，能够收集系统信息并执行命令，并具有旨在加载和执行作为动态链接库DLL传递的附加恶意软件有效载荷的插件系统。

FIN8在2022年12月攻击中使用的更新版Sardonic与Bitdefender发现的早期版本共享多个特性，尽管大部分代码已被重写，可能是为了掩盖源代码。

“有趣的是，后门代码不再使用C标准库，大多数面向对象的特性已被普通C实现所取代，”研究人员指出。

“此外，一些修改看起来很不自然，这表明威胁行为者的主要目标可能是避免与先前披露的详情相似。”

新的Sardonic版本中的更改示例包括：在通过网络发送消息时，指定如何解释消息的操作代码已移动到信息可变部分之后，“这种更