Членовете на бившия ransomware Conti са се обединили с FIN7, за да разпространяват ново семейство зловреден софтуер, наречено „Domino“, при атаки срещу корпоративни мрежи.

Domino е сравнително ново семейство зловреден софтуер, състоящо се от два компонента – задна вратичка, наречена „Domino Backdoor“, която на свой ред пуска „Domino Loader“, който инжектира DLL файл за кражба на информация в паметта на друг процес.

Изследователите на IBM Security Intelligence проследяват бивши членове на Conti и TrickBot, които използват новия зловреден софтуер в атаки от февруари 2023 г. насам.

Нов доклад на IBM, публикуван в петък, обаче свързва действителното разработване на зловредния софтуер Domino с хакерската група FIN7 – киберпрестъпна организация, свързана с различни видове зловреден софтуер, както и с операциите BlackBasta и DarkSide за откуп.

Атаките на зловредния софтуер Domino

От есента на 2022 г. изследователите на IBM проследяват атаки, използващи зареждащ зловреден софтуер на име „Dave Loader“, който е свързан с бивши членове на Conti ransomware и TrickBot.

Този зареждащ модул е наблюдаван да разгръща фарове на Cobalt Strike, които използват воден знак „206546002“, наблюдаван в атаки от бивши членове на Conti в операциите с рансъмуер Royal and Play.

IBM казва, че Dave Loader също е бил забелязан да разгръща Emotet, който е бил използван почти изключително от операцията Conti ransomware през юни 2022 г., а след това по-късно от бандите BlackBasta и Quantum ransomware.

Напоследък обаче от IBM казват, че са виждали Dave Loader да инсталира новото семейство зловреден софтуер Domino.

Най-често Dave Loader пускал „Domino Backdoor“, който след това инсталирал „Domino Loader“.

Domino Backdoor е 64-битов DLL файл, който изброява системна информация, като например работещи процеси, потребителски имена, имена на компютри, и я изпраща обратно към сървъра за командване и контрол на нападателя. Задната вратичка също така получава команди за изпълнение или допълнителни полезни товари за инсталиране. Тя също е видяна да изтегля допълнителен зареждащ модул, Domino Loader, който инсталира вграден .NET крадец на информация, наречен „Nemesis Project“. Той може също така да инсталира маяк Cobalt Strike, за по-голяма устойчивост.

„Задната вратичка Domino е проектирана така, че да се свързва с различен C2 адрес за системи, свързани с домейн, което предполага, че по-способна задна вратичка, като например Cobalt Strike, ще бъде изтеглена на мишени с по-висока стойност вместо проекта Nemesis“, обясняват изследователите от IBM Шарлот Хамънд и Оле Виладсен.

Project Nemesis е стандартен зловреден софтуер за кражба на информация, който може да събира идентификационни данни, съхранявани в браузъри и приложения, портфейли за криптовалути и история на браузъра.

Бивши членове на Conti се обединяват с FIN7

Бандитите, особено тези, които използват ransomware, обикновено си партнират с други групи за заплахи за разпространение на зловреден софтуер и за първоначален достъп до корпоративни мрежи.

Например TrickBot, Emotet, BazarBackdoor и QBot (QakBot) имат дълга история на предоставяне на първоначален достъп до операции с рансъмуер, като REvil, Maze, Egregor, BlackBasta, Ryuk и Conti.

С течение на времето границите между разработчиците на зловреден софтуер и бандите за откупване са станали неясни, което затруднява разграничаването на двете операции.

С формирането на синдиката за киберпрестъпления Conti тези граници се размиха още повече, тъй като операцията за откупуване на софтуер пое контрола върху разработката на TrickBot и BazarBackdoor за собствените си операции.

Освен това след закриването на Conti операцията за изнудвачески софтуер се разпадна на по-малки клетки, като членовете ѝ се движеха из цялото пространство за изнудвачески софтуер, включително Royal, Play, Quantum/Zeon/Dagon, BlackBasta, LockBit и др.

IBM приписва семейството зловреден софтуер Domino на FIN7 поради голямото припокриване на кода с Lizar (известен още като Tirion и DiceLoader), инструментариум за последващо експлоатиране, свързан с FIN7.

 

Освен това IBM установи, че зареждащото устройство на име „NewWorldOrder“, което обикновено се използва при атаките Carbanak на FIN7, наскоро е било използвано за прокарване на зловредния софтуер Domino.

Така че, в едно объркващо съвместно предприятие имаме Dave Loader (TrickBot/Conti), който изтласква зловредния софтуер Domino (FIN7), който на свой ред разгръща маяците Project Nemesis или Cobalt Strike, за които се смята, че са свързани с дейността на бивши членове на Conti, която пък е банда свързана с рансъмуер.

Това означава, че защитниците трябва да се справят с объркваща мрежа от групи, всички със зловреден софтуер, позволяващ отдалечен достъп до мрежи.

 

Базова информация и инфографики: IBM

Източник: По материали от Интернет

Подобни публикации

24 април 2025

Възходът на ИИ -базирания полиморфен фишинг

Екипите по анализ на заплахите наблюдават значително увеличение на ...
24 април 2025

Уязвимост в Erlang/OTP поставя под риск редица ...

Cisco разследва въздействието на наскоро разкрита критична уязвимос...
24 април 2025

Marks & Spencer засегнат от кибератака по В...

Емблематичният британски търговец Marks & Spencer (M&S) е в...
24 април 2025

Над 350 000 пациенти засегнати от пробив в Onsi...

Американският доставчик на медицински услуги Onsite Mammography, оп...
23 април 2025

Кибератака парализира системите на град Абилин,...

Градът Абилин, Тексас, стана жертва на сериозна кибератака, която д...
23 април 2025

Уязвимост доведе до издаване на фалшиви SSL сер...

Уязвимост в процеса за валидация на домейн (Domain Control Validati...
23 април 2025

Proton66 подслонява мащабни кибератаки и зловре...

Изследователи по киберсигурност предупреждават, че руският автономе...
Бъдете социални
Още по темата
24/04/2025

Marks & Spencer засегна...

Емблематичният британски търговец Marks & Spencer...
24/04/2025

Над 350 000 пациенти засегн...

Американският доставчик на медицински услуги Onsite...
23/04/2025

Кибератака парализира систе...

Градът Абилин, Тексас, стана жертва на...
Последно добавени
24/04/2025

Възходът на ИИ -базирания п...

Екипите по анализ на заплахите наблюдават...
24/04/2025

Уязвимост в Erlang/OTP пост...

Cisco разследва въздействието на наскоро разкрита...
24/04/2025

Marks & Spencer засегна...

Емблематичният британски търговец Marks & Spencer...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!