Търсене
Close this search box.

Domino – новият ад за фирмите

Членовете на бившия ransomware Conti са се обединили с FIN7, за да разпространяват ново семейство зловреден софтуер, наречено „Domino“, при атаки срещу корпоративни мрежи.

Domino е сравнително ново семейство зловреден софтуер, състоящо се от два компонента – задна вратичка, наречена „Domino Backdoor“, която на свой ред пуска „Domino Loader“, който инжектира DLL файл за кражба на информация в паметта на друг процес.

Изследователите на IBM Security Intelligence проследяват бивши членове на Conti и TrickBot, които използват новия зловреден софтуер в атаки от февруари 2023 г. насам.

Нов доклад на IBM, публикуван в петък, обаче свързва действителното разработване на зловредния софтуер Domino с хакерската група FIN7 – киберпрестъпна организация, свързана с различни видове зловреден софтуер, както и с операциите BlackBasta и DarkSide за откуп.

Атаките на зловредния софтуер Domino

От есента на 2022 г. изследователите на IBM проследяват атаки, използващи зареждащ зловреден софтуер на име „Dave Loader“, който е свързан с бивши членове на Conti ransomware и TrickBot.

Този зареждащ модул е наблюдаван да разгръща фарове на Cobalt Strike, които използват воден знак „206546002“, наблюдаван в атаки от бивши членове на Conti в операциите с рансъмуер Royal and Play.

IBM казва, че Dave Loader също е бил забелязан да разгръща Emotet, който е бил използван почти изключително от операцията Conti ransomware през юни 2022 г., а след това по-късно от бандите BlackBasta и Quantum ransomware.

Напоследък обаче от IBM казват, че са виждали Dave Loader да инсталира новото семейство зловреден софтуер Domino.

Най-често Dave Loader пускал „Domino Backdoor“, който след това инсталирал „Domino Loader“.

Domino Backdoor е 64-битов DLL файл, който изброява системна информация, като например работещи процеси, потребителски имена, имена на компютри, и я изпраща обратно към сървъра за командване и контрол на нападателя. Задната вратичка също така получава команди за изпълнение или допълнителни полезни товари за инсталиране. Тя също е видяна да изтегля допълнителен зареждащ модул, Domino Loader, който инсталира вграден .NET крадец на информация, наречен „Nemesis Project“. Той може също така да инсталира маяк Cobalt Strike, за по-голяма устойчивост.

„Задната вратичка Domino е проектирана така, че да се свързва с различен C2 адрес за системи, свързани с домейн, което предполага, че по-способна задна вратичка, като например Cobalt Strike, ще бъде изтеглена на мишени с по-висока стойност вместо проекта Nemesis“, обясняват изследователите от IBM Шарлот Хамънд и Оле Виладсен.

Project Nemesis е стандартен зловреден софтуер за кражба на информация, който може да събира идентификационни данни, съхранявани в браузъри и приложения, портфейли за криптовалути и история на браузъра.

Бивши членове на Conti се обединяват с FIN7

Бандитите, особено тези, които използват ransomware, обикновено си партнират с други групи за заплахи за разпространение на зловреден софтуер и за първоначален достъп до корпоративни мрежи.

Например TrickBot, Emotet, BazarBackdoor и QBot (QakBot) имат дълга история на предоставяне на първоначален достъп до операции с рансъмуер, като REvil, Maze, Egregor, BlackBasta, Ryuk и Conti.

С течение на времето границите между разработчиците на зловреден софтуер и бандите за откупване са станали неясни, което затруднява разграничаването на двете операции.

С формирането на синдиката за киберпрестъпления Conti тези граници се размиха още повече, тъй като операцията за откупуване на софтуер пое контрола върху разработката на TrickBot и BazarBackdoor за собствените си операции.

Освен това след закриването на Conti операцията за изнудвачески софтуер се разпадна на по-малки клетки, като членовете ѝ се движеха из цялото пространство за изнудвачески софтуер, включително Royal, Play, Quantum/Zeon/Dagon, BlackBasta, LockBit и др.

IBM приписва семейството зловреден софтуер Domino на FIN7 поради голямото припокриване на кода с Lizar (известен още като Tirion и DiceLoader), инструментариум за последващо експлоатиране, свързан с FIN7.

 

Освен това IBM установи, че зареждащото устройство на име „NewWorldOrder“, което обикновено се използва при атаките Carbanak на FIN7, наскоро е било използвано за прокарване на зловредния софтуер Domino.

Така че, в едно объркващо съвместно предприятие имаме Dave Loader (TrickBot/Conti), който изтласква зловредния софтуер Domino (FIN7), който на свой ред разгръща маяците Project Nemesis или Cobalt Strike, за които се смята, че са свързани с дейността на бивши членове на Conti, която пък е банда свързана с рансъмуер.

Това означава, че защитниците трябва да се справят с объркваща мрежа от групи, всички със зловреден софтуер, позволяващ отдалечен достъп до мрежи.

 

Базова информация и инфографики: IBM

Източник: По материали от Интернет

Подобни публикации

10 септември 2024

Как да създадем и подобрим сигурността на крайн...

Поради голямата си атакувана повърхност, съставена от различни набо...
10 септември 2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно преслед...
10 септември 2024

Използването на търговски шпионски софтуер се з...

Усилията на САЩ и други правителства да ограничат разработването, и...
10 септември 2024

300 000 души са засегнати от пробива на данните...

Avis Car Rental уведомява близо 300 000 души, че личната им информа...
10 септември 2024

Двама са обвинени в САЩ за организиране на паза...

САЩ повдигнаха обвинения на гражданин на Казахстан и гражданин на Р...
9 септември 2024

Шпионският софтуер Predator се появи отново с н...

Шпионският софтуер Predator се е появил отново с нова инфраструктур...
9 септември 2024

Един милион клиенти на Kaspersky в САЩ са прехв...

Клиентите на Kaspersky в Съединените щати са уведомени, че абонамен...
9 септември 2024

CISA сигнализира за грешки в ICS в продуктите н...

Миналата седмица американската Агенция за киберсигурност и инфрастр...
9 септември 2024

Progress LoadMaster е уязвим към недостатък на ...

Progress Software издаде спешна поправка за уязвимост с максимална ...
Бъдете социални
Още по темата
10/09/2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно...
10/09/2024

300 000 души са засегнати о...

Avis Car Rental уведомява близо 300...
09/09/2024

Новата атака RAMBO краде да...

Нова атака по страничен канал, наречена...
Последно добавени
10/09/2024

Как да създадем и подобрим ...

Поради голямата си атакувана повърхност, съставена...
10/09/2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно...
10/09/2024

Използването на търговски ш...

Усилията на САЩ и други правителства...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!