FIN8黑客组织的最新动态

关键要点

FIN8黑客组织最近观察到正在部署一种改进版的Sardonic后门恶意软件，随着其对勒索病毒攻击的重视程度加深。该组织自2016年1月起活跃，以针对酒店、零售、娱乐、保险、科技、化学和金融等行业的组织而闻名。

最初，FIN8专注于销售点（POS）攻击【】。然而，近年来，它在攻击中使用了多种勒索病毒威胁。

在周二发布的【】中，赛门铁克的威胁猎捕团队表示，他们跟踪的该组织，名为Syssphinx，观察到该组织正在部署新的Sardonic后门恶意软件变种，以传播【】（又名ALPHV和【】）。社交工程和鱼叉式钓鱼是该组织惯用的初始攻击策略。

“该组织以利用所谓的生存策略而著称，利用诸如PowerShell和WMI（Windows管理工具）等内置工具和接口，并滥用合法服务来掩盖其活动，”研究人员写道。

该组织进军勒索病毒领域“表明这些威胁行为者可能在多样化其攻击重点，以最大化从受害组织中获得的利润”。

FIN8最早于2021年6月在攻击中使用勒索病毒。2022年1月，【WhiteRabbit】勒索病毒家族被与该组织关联，而2022年12月，赛门铁克观察到FIN8部署了BlackCat勒索病毒。

与许多网络犯罪小组一样，FIN8（据信位于东欧的独立国家联合体地区）以在攻击活动之间暂停较长时间而闻名，利用这段时间改进其战术、技术和程序。

这种做法体现在它近年来对后门恶意软件使用的进化中。2019年，它使用了【Badhatch】后门，并于2020年12月和2021年1月进行了更新。而在2021年，【Bitdefender的研究人员】将一种更新的后门Sardonic与该组织关联起来。

赛门铁克表示，他们在2022年12月观察到的最新攻击中，FIN8利用了经过“重新修订”的Sardonic，其中“大部分后门的特性已被更改，以赋予其新外观”。

Sardonic后门是用C++编写的，能够收集系统信息并执行命令，并具有旨在加载和执行作为动态链接库（DLL）传递的附加恶意软件有效载荷的插件系统。

FIN8在2022年12月攻击中使用的更新版Sardonic与Bitdefender发现的早期版本共享多个特性，尽管大部分代码已被重写，可能是为了掩盖源代码。

“有趣的是，后门代码不再使用C++标准库，大多数面向对象的特性已被普通C实现所取代，”研究人员指出。
“此外，一些修改看起来很不自然，这表明威胁行为者的主要目标可能是避免与先前披露的详情相似。”

新的Sardonic版本中的更改示例包括：在通过网络发送消息时，指定如何解释消息的操作代码已移动到信息可变部分之后，“这种更