FIN8 csoport újrafelhasznált eszközei
A FIN8 egy pénzügyileg motivált csoport, amely a kiskereskedelmi, vendéglátó- és szórakoztatóipart célozza meg. A Symantec Threat Hunter Team a közelmúltban megfigyelte a FIN8 (Syssphinx) csoportot, amint a Sardonic backdoor egy változatát telepítette a Noberus ransomware-el.
A csoport arról ismert, hogy a life-off-the-land taktikát alkalmazza, a beépített eszközöket és interfészeket használja a támadásai során, például a PowerShell és a WMI, és visszaél a valós szolgáltatásokkal tevékenységének álcázására. A pszichológiai manipuláció és az adathalászat a csoport két preferált módszere a kezdeti kihasználásra. A csoport arról ismert, hogy hosszabb szüneteket tart a támadási kampányok között, hogy javítsa taktikáit, technikáit és eljárásait (TTP).
2022 januárjában a White Rabbit néven ismert ransomware családot összekapcsolták a Syssphinxszel. A White Rabbit támadásokhoz kapcsolódó rosszindulatú URL a Syssphinx-hez is kapcsolódik.
2022 decemberében a Symantec megfigyelte, hogy a csoport a Noberus (más néven ALPHV, BlackCat) zsarolóprogramot próbálta támadásokban használni. A Noberust a Symantec Coreid nevű, pénzügyileg motivált kiberbűnözés elleni csoport (más néven Blackmatter, Carbon Spider, FIN7) üzemelteti.
A csoport továbbra is fejleszti képességeit és rosszindulatú programok infrastruktúráját, rendszeresen finomítja eszközeit és taktikáját az észlelés elkerülése érdekében. A csoport azon döntése, hogy az értékesítési terminálok támadásaitól a zsarolóvírusok használatáig terjeszkedik, jól mutatja a fenyegetés szereplőinek elkötelezettségét a profitjának maximalizálása iránt.