Членовете на бившия ransomware Conti са се обединили с FIN7, за да разпространяват ново семейство зловреден софтуер, наречено „Domino“, при атаки срещу корпоративни мрежи.

Domino е сравнително ново семейство зловреден софтуер, състоящо се от два компонента – задна вратичка, наречена „Domino Backdoor“, която на свой ред пуска „Domino Loader“, който инжектира DLL файл за кражба на информация в паметта на друг процес.

Изследователите на IBM Security Intelligence проследяват бивши членове на Conti и TrickBot, които използват новия зловреден софтуер в атаки от февруари 2023 г. насам.

Нов доклад на IBM, публикуван в петък, обаче свързва действителното разработване на зловредния софтуер Domino с хакерската група FIN7 – киберпрестъпна организация, свързана с различни видове зловреден софтуер, както и с операциите BlackBasta и DarkSide за откуп.

Атаките на зловредния софтуер Domino

От есента на 2022 г. изследователите на IBM проследяват атаки, използващи зареждащ зловреден софтуер на име „Dave Loader“, който е свързан с бивши членове на Conti ransomware и TrickBot.

Този зареждащ модул е наблюдаван да разгръща фарове на Cobalt Strike, които използват воден знак „206546002“, наблюдаван в атаки от бивши членове на Conti в операциите с рансъмуер Royal and Play.

IBM казва, че Dave Loader също е бил забелязан да разгръща Emotet, който е бил използван почти изключително от операцията Conti ransomware през юни 2022 г., а след това по-късно от бандите BlackBasta и Quantum ransomware.

Напоследък обаче от IBM казват, че са виждали Dave Loader да инсталира новото семейство зловреден софтуер Domino.

Най-често Dave Loader пускал „Domino Backdoor“, който след това инсталирал „Domino Loader“.

Domino Backdoor е 64-битов DLL файл, който изброява системна информация, като например работещи процеси, потребителски имена, имена на компютри, и я изпраща обратно към сървъра за командване и контрол на нападателя. Задната вратичка също така получава команди за изпълнение или допълнителни полезни товари за инсталиране. Тя също е видяна да изтегля допълнителен зареждащ модул, Domino Loader, който инсталира вграден .NET крадец на информация, наречен „Nemesis Project“. Той може също така да инсталира маяк Cobalt Strike, за по-голяма устойчивост.

„Задната вратичка Domino е проектирана така, че да се свързва с различен C2 адрес за системи, свързани с домейн, което предполага, че по-способна задна вратичка, като например Cobalt Strike, ще бъде изтеглена на мишени с по-висока стойност вместо проекта Nemesis“, обясняват изследователите от IBM Шарлот Хамънд и Оле Виладсен.

Project Nemesis е стандартен зловреден софтуер за кражба на информация, който може да събира идентификационни данни, съхранявани в браузъри и приложения, портфейли за криптовалути и история на браузъра.

Бивши членове на Conti се обединяват с FIN7

Бандитите, особено тези, които използват ransomware, обикновено си партнират с други групи за заплахи за разпространение на зловреден софтуер и за първоначален достъп до корпоративни мрежи.

Например TrickBot, Emotet, BazarBackdoor и QBot (QakBot) имат дълга история на предоставяне на първоначален достъп до операции с рансъмуер, като REvil, Maze, Egregor, BlackBasta, Ryuk и Conti.

С течение на времето границите между разработчиците на зловреден софтуер и бандите за откупване са станали неясни, което затруднява разграничаването на двете операции.

С формирането на синдиката за киберпрестъпления Conti тези граници се размиха още повече, тъй като операцията за откупуване на софтуер пое контрола върху разработката на TrickBot и BazarBackdoor за собствените си операции.

Освен това след закриването на Conti операцията за изнудвачески софтуер се разпадна на по-малки клетки, като членовете ѝ се движеха из цялото пространство за изнудвачески софтуер, включително Royal, Play, Quantum/Zeon/Dagon, BlackBasta, LockBit и др.

IBM приписва семейството зловреден софтуер Domino на FIN7 поради голямото припокриване на кода с Lizar (известен още като Tirion и DiceLoader), инструментариум за последващо експлоатиране, свързан с FIN7.

Освен това IBM установи, че зареждащото устройство на име „NewWorldOrder“, което обикновено се използва при атаките Carbanak на FIN7, наскоро е било използвано за прокарване на зловредния софтуер Domino.

Така че, в едно объркващо съвместно предприятие имаме Dave Loader (TrickBot/Conti), който изтласква зловредния софтуер Domino (FIN7), който на свой ред разгръща маяците Project Nemesis или Cobalt Strike, за които се смята, че са свързани с дейността на бивши членове на Conti, която пък е банда свързана с рансъмуер.

Това означава, че защитниците трябва да се справят с объркваща мрежа от групи, всички със зловреден софтуер, позволяващ отдалечен достъп до мрежи.

Базова информация и инфографики: IBM