Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент Sardonic
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
Sardonic
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Sardonic

Sardonic is a backdoor written in C and C++ that is known to be used by FIN8, as early as August 2021 to target a financial institution in the United States. Sardonic has a plugin system that can load specially made DLLs and execute their functions.(Citation: Bitdefender Sardonic Aug 2021)(Citation: Symantec FIN8 Jul 2023)
ID: S1085
Type: MALWARE
Platforms: Windows
Created: 05 Sep 2023
Last Modified: 04 Oct 2023

Techniques Used
Domain ID Name Use
Enterprise T1059 .001 Command and Scripting Interpreter: PowerShell

Sardonic has the ability to execute PowerShell commands on a compromised machine.(Citation: Bitdefender Sardonic Aug 2021)
.003 Command and Scripting Interpreter: Windows Command Shell

Sardonic has the ability to run `cmd.exe` or other interactive processes on a compromised computer.(Citation: Symantec FIN8 Jul 2023)

Enterprise T1132 .001 Data Encoding: Standard Encoding

Sardonic can encode client ID data in 32 uppercase hex characters and transfer to the actor-controlled C2 server.(Citation: Bitdefender Sardonic Aug 2021)
Enterprise T1573 .001 Encrypted Channel: Symmetric Cryptography

Sardonic has the ability to use an RC4 key to encrypt communications to and from actor-controlled C2 servers.(Citation: Bitdefender Sardonic Aug 2021)
.002 Encrypted Channel: Asymmetric Cryptography

Sardonic has the ability to send a random 64-byte RC4 key to communicate with actor-controlled C2 servers by using an RSA public key.(Citation: Bitdefender Sardonic Aug 2021)

Enterprise T1546 .003 Event Triggered Execution: Windows Management Instrumentation Event Subscription

Sardonic can use a WMI event filter to invoke a command-line event consumer to gain persistence.(Citation: Bitdefender Sardonic Aug 2021)
Enterprise T1027 .010 Obfuscated Files or Information: Command Obfuscation

Sardonic PowerShell scripts can be encrypted with RC4 and compressed using Gzip.(Citation: Bitdefender Sardonic Aug 2021)
Enterprise T1055 .004 Process Injection: Asynchronous Procedure Call

Sardonic can use the `QueueUserAPC` API to execute shellcode on a compromised machine.(Citation: Symantec FIN8 Jul 2023)

Groups That Use This Software
ID Name References
G0061 FIN8

(Citation: Bitdefender Sardonic Aug 2021) (Citation: Symantec FIN8 Jul 2023)

References

  1. Budaca, E., et al. (2021, August 25). FIN8 Threat Actor Goes Agile with New Sardonic Backdoor. Retrieved August 9, 2023.
  2. Symantec Threat Hunter Team. (2023, July 18). FIN8 Uses Revamped Sardonic Backdoor to Deliver Noberus Ransomware. Retrieved August 9, 2023.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.