Членовете на бившия ransomware Conti са се обединили с FIN7, за да разпространяват ново семейство зловреден софтуер, наречено „Domino“, при атаки срещу корпоративни мрежи.

Domino е сравнително ново семейство зловреден софтуер, състоящо се от два компонента – задна вратичка, наречена „Domino Backdoor“, която на свой ред пуска „Domino Loader“, който инжектира DLL файл за кражба на информация в паметта на друг процес.

Изследователите на IBM Security Intelligence проследяват бивши членове на Conti и TrickBot, които използват новия зловреден софтуер в атаки от февруари 2023 г. насам.

Нов доклад на IBM, публикуван в петък, обаче свързва действителното разработване на зловредния софтуер Domino с хакерската група FIN7 – киберпрестъпна организация, свързана с различни видове зловреден софтуер, както и с операциите BlackBasta и DarkSide за откуп.

Атаките на зловредния софтуер Domino

От есента на 2022 г. изследователите на IBM проследяват атаки, използващи зареждащ зловреден софтуер на име „Dave Loader“, който е свързан с бивши членове на Conti ransomware и TrickBot.

Този зареждащ модул е наблюдаван да разгръща фарове на Cobalt Strike, които използват воден знак „206546002“, наблюдаван в атаки от бивши членове на Conti в операциите с рансъмуер Royal and Play.

IBM казва, че Dave Loader също е бил забелязан да разгръща Emotet, който е бил използван почти изключително от операцията Conti ransomware през юни 2022 г., а след това по-късно от бандите BlackBasta и Quantum ransomware.

Напоследък обаче от IBM казват, че са виждали Dave Loader да инсталира новото семейство зловреден софтуер Domino.

Най-често Dave Loader пускал „Domino Backdoor“, който след това инсталирал „Domino Loader“.

Domino Backdoor е 64-битов DLL файл, който изброява системна информация, като например работещи процеси, потребителски имена, имена на компютри, и я изпраща обратно към сървъра за командване и контрол на нападателя. Задната вратичка също така получава команди за изпълнение или допълнителни полезни товари за инсталиране. Тя също е видяна да изтегля допълнителен зареждащ модул, Domino Loader, който инсталира вграден .NET крадец на информация, наречен „Nemesis Project“. Той може също така да инсталира маяк Cobalt Strike, за по-голяма устойчивост.

„Задната вратичка Domino е проектирана така, че да се свързва с различен C2 адрес за системи, свързани с домейн, което предполага, че по-способна задна вратичка, като например Cobalt Strike, ще бъде изтеглена на мишени с по-висока стойност вместо проекта Nemesis“, обясняват изследователите от IBM Шарлот Хамънд и Оле Виладсен.

Project Nemesis е стандартен зловреден софтуер за кражба на информация, който може да събира идентификационни данни, съхранявани в браузъри и приложения, портфейли за криптовалути и история на браузъра.

Бивши членове на Conti се обединяват с FIN7

Бандитите, особено тези, които използват ransomware, обикновено си партнират с други групи за заплахи за разпространение на зловреден софтуер и за първоначален достъп до корпоративни мрежи.

Например TrickBot, Emotet, BazarBackdoor и QBot (QakBot) имат дълга история на предоставяне на първоначален достъп до операции с рансъмуер, като REvil, Maze, Egregor, BlackBasta, Ryuk и Conti.

С течение на времето границите между разработчиците на зловреден софтуер и бандите за откупване са станали неясни, което затруднява разграничаването на двете операции.

С формирането на синдиката за киберпрестъпления Conti тези граници се размиха още повече, тъй като операцията за откупуване на софтуер пое контрола върху разработката на TrickBot и BazarBackdoor за собствените си операции.

Освен това след закриването на Conti операцията за изнудвачески софтуер се разпадна на по-малки клетки, като членовете ѝ се движеха из цялото пространство за изнудвачески софтуер, включително Royal, Play, Quantum/Zeon/Dagon, BlackBasta, LockBit и др.

IBM приписва семейството зловреден софтуер Domino на FIN7 поради голямото припокриване на кода с Lizar (известен още като Tirion и DiceLoader), инструментариум за последващо експлоатиране, свързан с FIN7.

 

Освен това IBM установи, че зареждащото устройство на име „NewWorldOrder“, което обикновено се използва при атаките Carbanak на FIN7, наскоро е било използвано за прокарване на зловредния софтуер Domino.

Така че, в едно объркващо съвместно предприятие имаме Dave Loader (TrickBot/Conti), който изтласква зловредния софтуер Domino (FIN7), който на свой ред разгръща маяците Project Nemesis или Cobalt Strike, за които се смята, че са свързани с дейността на бивши членове на Conti, която пък е банда свързана с рансъмуер.

Това означава, че защитниците трябва да се справят с объркваща мрежа от групи, всички със зловреден софтуер, позволяващ отдалечен достъп до мрежи.

 

Базова информация и инфографики: IBM

Източник: По материали от Интернет

Подобни публикации

23 януари 2025

Кибератаките влизат в топ 10 на рисковете за бъ...

Според Барометъра на риска на Алианц бизнесът в България определя к...
23 януари 2025

Тръмп помилва създателя на пазара на наркотици ...

Едва на втория ден от встъпването си в длъжност президентът Тръмп п...
23 януари 2025

Тръмп отменя правилата на Байдън за развитието ...

Президентът Доналд Тръмп отмени заповедта на бившия президент Джо Б...
22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
Бъдете социални
Още по темата
22/01/2025

13 000 рутера MikroTik от ц...

Глобална мрежа от около 13 000...
21/01/2025

Злоупотреба с услугите на M...

Наблюдавани са две отделни заплахи, които...
21/01/2025

Нарушаване на сигурността н...

Базираният в Калифорния гигант в областта...
Последно добавени
23/01/2025

Кибератаките влизат в топ 1...

Според Барометъра на риска на Алианц...
23/01/2025

Тръмп помилва създателя на ...

Едва на втория ден от встъпването...
23/01/2025

Тръмп отменя правилата на Б...

Президентът Доналд Тръмп отмени заповедта на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!