FIN8 の最新バックドアは金融分野がターゲット?

Researchers Uncover FIN8’s New Backdoor Targeting Financial Institutions

2021/08/25 The Hacker News — ルーマニアのサイバーセキュリティ企業である Bitdefender が、これまで文書化されていなかった Sardonic マルウェアを発見した。このマルウェアは、Bitdefender により Sardonic と名付けられたものであり、米国の金融機関を狙った FIN8 の攻撃が失敗に終わったことを受けて、フォレンジック調査を行った際に発見されたという。

Bitdefender の研究者である Eduard Budaca と Victor Vrabie は、「Sardonic バックドアは非常に強力であり、コンポーネントを更新することなく、その場で新しいマルウェアを活用することができるなど、幅広い機能を備えている」と、The Hacker Newsに掲載されたレポートで述べている

2016年1月に登場して以来、FIN8 はスピアフィッシングの手口や、PUNCHTRACK / BADHATCH などのマルウェアを活用して、POS システムからペイメント・カード情報などを盗み出してきた。この脅威グループは、作戦の合間に長期休暇を取り、戦術を微調整して作戦の成功率を高めることで知られている。主に「living off the land」攻撃によりサイバー侵略を行い、PowerShell などの組み込みツールやインターフェースを使用するほか、sslip.io などの正規サービスを用いて活動を偽装している。

今年の3月に Bitdefender は、FIN8 が1年半ぶりに復活し、米国/カナダ/南アフリカ/プエルトリコ/パナマ/イタリアなどの、保険/小売/テクノロジー/化学などの業界を標的にして、画面キャプチャ/プロキシートンネリング/クレデンシャル窃取/セフト/ファイルレス実行などの機能を強化した、BADHATCH インプラントの改良版を使用していることを明らかにした。

今回の事件では、攻撃者は標的となるネットワークに侵入して詳細な偵察を行った後に、横方向への移動と権限昇格を実行して、マルウェアのペイロードを展開したと考えらる。研究者たちは、「Sardonic バックドアをドメイン・コントローラに導入し、特権拡大と横移動を維持しようとする試みが複数回行われたが、悪意のコマンドラインはブロックされた」と述べている。

C++ で書かれた Sardonic は、侵入したマシン上で持続性を確立するための手順を踏むだけではなく、システム情報の取得、任意のコマンドの実行、追加プラグインのロード/実行などを可能にする機能を備えており、その結果はリモート攻撃者が制御するサーバーへと送信される。今回の動きは、FIN8 のマルウェア配信インフラの強化により、戦術の転換を図っていることが示されたと言えるだろう。

金融マルウェアに関連するリスクを軽減するためには、従業員やゲストが使用するネットワークから POS ネットワークを分離すること、従業員にフィッシングメールを見分ける方法を教育すること、疑わしい添付ファイルをフィルタリングするためのソリューションを改善することが推奨される。

FIN8 は、とても有名なマルウェアなんですね。スピアフィッシングをやるほど、綿密なシナリオを考える企画力があり、PUNCHTRACK / BADHATCH などのマルウェアは名前からして凄みがありますし、長期休暇もしっかり取るという、なかなかのギャングですね。褒めてはいけないけど、褒めたくなってしまいます。先日に、「金融サービス 2021 前半レポート:Web アプリ攻撃は 38% 増大」という、ちょっと長い記事をポストしましたが、この分野も防戦に追われています。

%d bloggers like this: