Cyberkriminella FIN8 utvecklar avancerade attacktaktiker

Cybersäkerhetsföretaget Picus Security har observerat att den finansiellt motiverade cyberkriminella gruppen FIN8 har utvecklat sina kampanjer för att uppnå mer avancerad privilegieeskalering. FIN8, som har varit aktiv sedan 2016, är känt för sin förmåga att förbli undangömd och anpassa sig snabbt, med en alltmer mångsidig arsenal av skadlig kod.

Enligt företagets analys har FIN8 i sina senaste attacker integrerat verktyg som Sardonic (även känd som Ragnar Loader) och Exocet. Med hjälp av dessa verktyg strävar gruppen efter att utöka sina behörigheter inom system, undvika försvarsmekanismer och bibehålla långsiktig åtkomst till mål. Målet är ofta att distribuera ransomware, såsom BlackCat/ALPHV och White Rabbit.

FIN8:s taktiker betonar avsiktlig diskretion. Gruppen utnyttjar vanligtvis PowerShell, WMI och Windows inbyggda verktyg för rekognosering och persistens. Istället för att lämna tydliga skadliga kodfiler, exekverar FIN8 kod direkt i minnet och använder WMI-händelseprenumerationer för att förbli oupptäckt. Dessa tekniker gör det svårt för traditionella signaturbaserade säkerhetssystem att upptäcka gruppens aktiviteter.

Picus Security menar att FIN8:s attackkedja vanligtvis börjar med rekognosering, fortsätter med insamling av autentiseringsuppgifter och avslutas med distribution av ransomware. Gruppens förmåga att lära sig och anpassa sig är avgörande för dess framgång. Till exempel har Sardonic-malware omskrivits för att bättre undvika detektion. Denna ständiga utveckling gör FIN8 till ett betydande hot mot företag globalt. Picus Security rekommenderar organisationer att bevaka FIN8:s aktiviteter och kontinuerligt testa sina försvarsmekanismer för att hålla sig uppdaterade om gruppens föränderliga taktiker och tekniker.