# FIN8 - Campanha Sardonic Backdoor (2021) > [!medium] FIN8 Introduz Novo Backdoor Sardonic em Ataque a Banco dos EUA - 2021 > Em agosto de 2021, a Bitdefender descobriu um novo backdoor C++ denominado Sardonic utilizado pelo [[g0061-fin8|FIN8 (Syssphinx)]] em um ataque contra um banco norte-americano. O malware representa evolução significativa das capacidades do grupo, com suporte a plugins DLL dinâmicos. ## Visão Geral A campanha Sardonic de 2021 marcou um ponto de inflexão nas capacidades técnicas do [[g0061-fin8|FIN8]], grupo financeiramente motivado ativo desde 2016. Pesquisadores da Bitdefender descobriram durante uma investigação forense em agosto de 2021 um backdoor C++ completamente novo, denominado "Sardonic" pelo próprio grupo - nome derivado de artefatos encontrados no código-fonte. O Sardonic representa uma evolução sobre o [[badhatch|BADHATCH]], backdoor anteriormente característico do FIN8. Diferentemente do seu predecessor, o Sardonic foi projetado com arquitetura modular, suportando até 10 sessões simultâneas e extensão dinâmica via plugins DLL, shellcode e transferência de controle para shellcode externo. Isso permite ao grupo carregar e executar novas funcionalidades sem atualizar o backdoor principal. A campanha específica de 2021 atacou um banco dos EUA. Os atacantes usaram spear-phishing como vetor inicial, seguido de reconhecimento extensivo usando ferramentas Impacket (smbexec, wmiexec), movimento lateral entre controladores de domínio e tentativas múltiplas de deploy do Sardonic em servidores de alto valor. ## Attack Flow ```mermaid graph TB A["📧 Spear-phishing<br/>Anexos Word/Excel maliciosos<br/>macros VBA obfuscadas"] --> B["📜 PowerShell loader<br/>sldr.ps1 baixa BADHATCH<br/>de IP via sslip.io"] B --> C["🔍 Reconhecimento<br/>smbexec + wmiexec<br/>Impacket suite - AD enum"] C --> D["🏃 Movimento lateral<br/>SMB + RDP para DCs<br/>e servidores SQL de valor"] D --> E["💉 Deploy Sardonic<br/>Tentativas em DCs<br/>bloqueadas em parte"] E --> F["🔌 Sardonic C2<br/>RC4 encryption<br/>até 10 sessões paralelas"] F --> G["🔧 Plugins DLL dinâmicos<br/>Novas capacidades sem<br/>atualizar backdoor"] ``` ## TTPs Mapeados | Técnica | ID | Descrição | |---------|----|-----------| | Spear-phishing com anexo | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos Word/Excel com macros maliciosas | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Loader PowerShell sldr.ps1 para instalar Sardonic | | WMI | [[t1047-wmi\|T1047]] | wmiexec da Impacket para execução remota | | SMB/Admin Shares | [[t1021-002-smb-windows-admin-shares\|T1021.002]] | smbexec para movimento lateral | | Process Injection | [[t1055-004-process-injection-apc\|T1055.004]] | Injeção de código em novo processo svchost.exe | | Web Service | [[t1102-web-service\|T1102]] | sslip.io como serviço legítimo para C2 staging | | Encrypted Channel | [[t1573-002-encrypted-channel-asymmetric\|T1573.002]] | RC4 + RSA para comúnicações C2 | ## Sardonic - Específicações Técnicas O backdoor Sardonic apresenta capacidades avançadas: - **Sessões**: suporte a até 10 sessões concorrentes, cada uma podendo roubar tokens de processo - **Extensibilidade**: 3 formatos de plugins - DLL dentro do processo, shellcode puro, e passagem de controle para shellcode externo - **Comúnicação**: criptografia RC4 com negociação de chave via RSA assimétrico - **Persistência**: deployment via PowerShell script com downloader externo - **Evasão**: sem uso de C++ standard library em versões posteriores (reescrito em C puro em 2022) O Sardonic foi descoberto compilado dias antes do ataque, sugerindo desenvolvimento ativo e operações direcionadas. ## Relevância e Evolução Esta campanha de 2021 foi o primeiro avistamento documentado do Sardonic. O backdoor evoluiu significativamente: - **2021**: Versão original C++ descoberta pela Bitdefender - ataque a banco nos EUA - **2022 (White Rabbit)**: Sardonic utilizado em ataques com ransomware White Rabbit - **2022 (BlackCat/ALPHV)**: Versão reescrita em C (sem C++ stdlib) usada para deploy de [[alphv-blackcat|ALPHV/BlackCat]] em dezembro 2022 Consulte [[fin8-blackcat-deployment|FIN8 - Deploy BlackCat 2022]] para a campanha de evolução. ## Detecção e Defesa **Indicadores comportamentais:** - PowerShell scripts baixando payloads de IPs via serviço sslip.io - Uso de smbexec/wmiexec (Impacket) em ambientes de produção - Conexões de saída cifradas em portas não padrão originadas de svchost.exe - Path `C:\Windows\TEMP\execute.bat` - IOC clássico do smbexec **Mitigações:** - [[m1042-disable-legacy-auth\|M1042]] - Restringir WMI remoto a contas privilegiadas específicas - [[m1049-antivirus\|M1049]] - Bloqueio de execução de macros em documentos Office - [[m1026-privileged-account-management\|M1026]] - Segmentar contas de admin de domínio ## Referências - [1](https://www.bitdefender.com/files/News/CaseStudies/study/401/Bitdefender-PR-Whitepaper-FIN8-creat5619-en-EN.pdf) Bitdefender - FIN8 Threat Actor Goes Agile with New Sardonic Backdoor (2021) - [2](https://attack.mitre.org/groups/G0061/) MITRE ATT&CK - FIN8, Syssphinx, Group G0061 - [3](https://cirt.gy/article/al2023_59-fin8-deploys-alphv-ransomware-using-sardonic-malware-variant-july-20-2023/) CIRT.GY - FIN8 ALPHV Ransomware via Sardonic (2023)