FIN8 phát tán mã độc Noberus Ransomware bằng phiên bản nâng cấp của Sardonic Backdoor

- Gần đây, các chuyên gia bảo mật đã phát hiện nhóm APT Syssphinx (còn được gọi là FIN8) đang phát triển phiên bản nâng cấp của Sardonic backdoor để phát tán mã độc ransomware Noberus.

Mặc dù backdoor này thuộc framework Sardonic đã từng được nhóm này sử dụng trước đó và bị phát hiện vào năm 2021, nhưng hầu hết các tính năng của nó đã được chỉnh sửa với giao diện mới. Syssphinx (còn được gọi là FIN8) là một nhóm tấn công có động cơ tài chính hoạt động từ tháng 1 năm 2016.

Nhóm này nổi tiếng với việc tấn công các tổ chức trong lĩnh vực chăm sóc khách hàng, bán lẻ, giải trí, bảo hiểm, công nghệ, hóa chất và tài chính. Syssphinx sử dụng các chiến thuật "living-off-the-land", tận dụng các công cụ và giao diện tích hợp sẵn như PowerShell và WMI, lợi dụng các dịch vụ hợp pháp trong hệ thống để ngụy trang cho các hoạt động tấn công mạng của mình. Kỹ thuật “social engineering” và “spear-phishing” là hai phương thức mà nhóm này thường sử dụng để bước đầu xâm nhập vào các tổ chức.

Syssphinx và Ransomware

Ban đầu, Syssphinx chủ yếu tấn công vào POS tại các điểm bán hàng, nhưng trong vài năm gần đây nhóm này đã chuyển sang sử dụng ransomware trong các chiến dịch tấn công. Vào tháng 6 năm 2021, lần đầu tiên nhóm APT Syssphinx bị phát hiện phát tán mã độc ransomware Ragnar Locker để tấn công một công ty dịch vụ tài chính tại Mỹ.

Vào tháng 01 năm 2022, Syssphinx đã sử dụng một nhóm các biến thể mã độc ransomware có tên White Rabbit thông qua một đoạn URL độc hại. Syssphinx đã sử dụng phiên bản nâng cấp của Sardonic backdoor để triển khai chiến dịch phán tán mã độc White Rabbit.

Sau đó, vào tháng 12 năm 2022, nhóm này tiếp tục phát tán mã độc ransomware Noberus (còn được gọi là ALPHV hoặc BlackCat) trong các cuộc tấn công cùng với nhóm tấn công Coreid (hay còn được biết đến với các tên khác như Blackmatter, Carbon Spider, FIN7).

Việc nhóm Syssphinx chuyển sang sử dụng ransomware là dấu hiệu cho thấy các nhóm tấn công mạng đang thay đổi chiến lược tấn công bằng cách đa dạng hóa lĩnh vực nhằm tối ưu hóa lợi nhuận từ các tổ chức bị tấn công.

Backdoor

Đặc biệt, Syssphinx thường tạm dừng hoạt động giữa các chiến dịch tấn công nhằm cải thiện chiến thuật, kỹ thuật và quy trình (TTPs) của nhóm.

Từ năm 2019, Syssphinx đã sử dụng backdoor có tên Badhatch trong các cuộc tấn công. Sau đó, vào tháng 12 năm 2020 và tháng 1 năm 2021, nhóm này đã cập nhật và nâng cấp Badhatch. Vào tháng 8 năm 2021, Syssphinx tiếp tục phát triển và triển khai một backdoor mới mang tên Sardonic.

Sardonic là một backdoor dựa trên ngôn ngữ lập trình C++ với khả năng thu thập thông tin và thực thi lệnh. Backdoor này cũng có hệ thống plugin để tải và thực thi các payload mã độc khác qua dạng DLL.

Gần đây, backdoor Sardonic được phát hiện với phiên bản mới nhất vào năm 2022. Phiên bản nâng cấp này đã thay đổi giao diện và không còn sử dụng thư viện C++.

Thêm vào đó, một số tính năng hướng đối tượng đã được thay thế bằng ngôn ngữ lập trình C thông thường. Mục tiêu của quá trình nâng cấp backdoor chủ yếu là thay đổi giao diện để tránh bị phát hiện. Tuy nhiên, Syssphinx vẫn sử dụng các kỹ thuật quen thuộc trong các cuộc tấn công gần đây.

Qua việc mở rộng đối tượng tấn công từ các điểm POS sang ransomware, không ngừng nâng cấp công cụ và chiến thuật tấn công trong một thời gian dài cho thấy Syssphinx là mối đe dọa nghiêm trọng đối với các tổ chức có các hoạt động liên quan đến tài chính.