Членовете на бившия ransomware Conti са се обединили с FIN7, за да разпространяват ново семейство зловреден софтуер, наречено „Domino“, при атаки срещу корпоративни мрежи.
Domino е сравнително ново семейство зловреден софтуер, състоящо се от два компонента – задна вратичка, наречена „Domino Backdoor“, която на свой ред пуска „Domino Loader“, който инжектира DLL файл за кражба на информация в паметта на друг процес.
Изследователите на IBM Security Intelligence проследяват бивши членове на Conti и TrickBot, които използват новия зловреден софтуер в атаки от февруари 2023 г. насам.
Нов доклад на IBM, публикуван в петък, обаче свързва действителното разработване на зловредния софтуер Domino с хакерската група FIN7 – киберпрестъпна организация, свързана с различни видове зловреден софтуер, както и с операциите BlackBasta и DarkSide за откуп.
От есента на 2022 г. изследователите на IBM проследяват атаки, използващи зареждащ зловреден софтуер на име „Dave Loader“, който е свързан с бивши членове на Conti ransomware и TrickBot.
Този зареждащ модул е наблюдаван да разгръща фарове на Cobalt Strike, които използват воден знак „206546002“, наблюдаван в атаки от бивши членове на Conti в операциите с рансъмуер Royal and Play.
IBM казва, че Dave Loader също е бил забелязан да разгръща Emotet, който е бил използван почти изключително от операцията Conti ransomware през юни 2022 г., а след това по-късно от бандите BlackBasta и Quantum ransomware.
Напоследък обаче от IBM казват, че са виждали Dave Loader да инсталира новото семейство зловреден софтуер Domino.
Най-често Dave Loader пускал „Domino Backdoor“, който след това инсталирал „Domino Loader“.
Domino Backdoor е 64-битов DLL файл, който изброява системна информация, като например работещи процеси, потребителски имена, имена на компютри, и я изпраща обратно към сървъра за командване и контрол на нападателя. Задната вратичка също така получава команди за изпълнение или допълнителни полезни товари за инсталиране. Тя също е видяна да изтегля допълнителен зареждащ модул, Domino Loader, който инсталира вграден .NET крадец на информация, наречен „Nemesis Project“. Той може също така да инсталира маяк Cobalt Strike, за по-голяма устойчивост.
„Задната вратичка Domino е проектирана така, че да се свързва с различен C2 адрес за системи, свързани с домейн, което предполага, че по-способна задна вратичка, като например Cobalt Strike, ще бъде изтеглена на мишени с по-висока стойност вместо проекта Nemesis“, обясняват изследователите от IBM Шарлот Хамънд и Оле Виладсен.
Project Nemesis е стандартен зловреден софтуер за кражба на информация, който може да събира идентификационни данни, съхранявани в браузъри и приложения, портфейли за криптовалути и история на браузъра.
Бандитите, особено тези, които използват ransomware, обикновено си партнират с други групи за заплахи за разпространение на зловреден софтуер и за първоначален достъп до корпоративни мрежи.
Например TrickBot, Emotet, BazarBackdoor и QBot (QakBot) имат дълга история на предоставяне на първоначален достъп до операции с рансъмуер, като REvil, Maze, Egregor, BlackBasta, Ryuk и Conti.
С течение на времето границите между разработчиците на зловреден софтуер и бандите за откупване са станали неясни, което затруднява разграничаването на двете операции.
С формирането на синдиката за киберпрестъпления Conti тези граници се размиха още повече, тъй като операцията за откупуване на софтуер пое контрола върху разработката на TrickBot и BazarBackdoor за собствените си операции.
Освен това след закриването на Conti операцията за изнудвачески софтуер се разпадна на по-малки клетки, като членовете ѝ се движеха из цялото пространство за изнудвачески софтуер, включително Royal, Play, Quantum/Zeon/Dagon, BlackBasta, LockBit и др.
IBM приписва семейството зловреден софтуер Domino на FIN7 поради голямото припокриване на кода с Lizar (известен още като Tirion и DiceLoader), инструментариум за последващо експлоатиране, свързан с FIN7.
Освен това IBM установи, че зареждащото устройство на име „NewWorldOrder“, което обикновено се използва при атаките Carbanak на FIN7, наскоро е било използвано за прокарване на зловредния софтуер Domino.
Така че, в едно объркващо съвместно предприятие имаме Dave Loader (TrickBot/Conti), който изтласква зловредния софтуер Domino (FIN7), който на свой ред разгръща маяците Project Nemesis или Cobalt Strike, за които се смята, че са свързани с дейността на бивши членове на Conti, която пък е банда свързана с рансъмуер.
Това означава, че защитниците трябва да се справят с объркваща мрежа от групи, всички със зловреден софтуер, позволяващ отдалечен достъп до мрежи.
Базова информация и инфографики: IBM
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.