Die Experten der Bitdefender Labs haben im Rahmen einer forensischen Untersuchung eine neue Backdoor-Komponente bei einer gezielten Attacke auf eine US-Finanzorganisation entdeckt und „Sardonic“ genannt: Die forensischen Artefakte deuten darauf hin, dass die Urheber unter diesem Namen ein größeres Projekt vorantreiben, dass aus der neuen Backdoor, dem Loader und weiteren Skripten besteht.

Die neue Hintertür erschließt den Angreifern zahlreiche Funktionen. Mit ihrer Hilfe können Angreifer neue Malware unmittelbar on the fly einsetzen, ohne Komponenten updaten zu müssen. Erst im März dieses Jahres hatten die Experten mit BADHATCH eine weitere FIN8-Hintertür entdeckt.

Die seit Januar 2016 beobachteten FIN8-Aktivitäten starten vor allem „Living-of-the-Land”-Attacken gegen Finanzdienste und Point-of-Sales (POS) -Systeme. Dabei nutzen sie eingebaute Tools und Schnittstellen wie PowerShell oder WMI. Die Hacker missbrauchen zudem legitime Dienste wie sslip.io, um die Aktivitäten der Malware zu verschleiern.

Infektion und Wirkungsweise
Der ursprüngliche Infektionsvektor lässt sich nicht exakt bestimmen. Aber vieles deutet darauf hin, dass Sardonic wie die anderen der seit Januar 2016 beobachteten FIN8-Attacken Social-Engineering-Techniken und Spear-Phishing-Kampagnen nutzt, um zunächst in das Netz zu gelangen.

Sobald die Backdoor durch den Sardonic Loader implementiert ist, sichert sich das Tool seine Persistenz im Opfernetz. Die Malware startet danach damit, Informationen über das Netzwerk und die Domaine (Nutzer und Domain Controller) zu sammeln.

Mit einem Plug-In-System lassen sich eigens von den Angreifern entwickelte DLLs laden und ausführen. Weitere Seitwärtsbewegungen dienen unter anderem der unerlaubten Eskalation von Privilegien. Die Kommunikation mit dem Command-and-Control-Server der Angreifer läuft über Port 443.

Die einzelnen Funktionen unterscheiden sich im Codierungsstil und im Nutzen der C++-Standardbibliothek. Das sind Anzeichen dafür, dass mehrere Personen sich daran beteiligen, Sardonic weiterzuentwickeln.

Umfassender Schutz empfohlen
Um solche Angriffe abzuwehren, benötigen Unternehmen eine umfassende Kombination von Abwehrtechnologien mit Tools zur Prävention sowie zu Detection and Response, die die Vorgänge in der Unternehmens-IT beobachten. Grundsätzlich sollten Unternehmen ihre POS-Netzwerke von den Netzen für Mitarbeiter, Partner und Gäste trennen.

E-Mail-Sicherheit erkennt verdächtige Anhänge, die Teil einer Phishing-Kampagne sind. Ebenso zentral ist eine SIEM oder eine in andere Lösungen integrierte Threat Intelligence. Kleinere und mittlere Unternehmen, die ebenfalls Zielscheibe solcher Attacken sind, sollten Managed-Detection-and-Response-Dienste in Anspruch nehmen.

Letzten Endes bieten nur diese einen wirklichen und nachhaltigen Schutz gegen solche Angriffe, wie sie FIN8 startet, welche nach dem Eindringen noch über mehrere Monate lang im Geheimen wirken können.

Weitere Beiträge....