ΑρχικήsecurityΣυνεργασία πρώην μελών της Conti και των hackers FIN7 για τη διανομή...

Συνεργασία πρώην μελών της Conti και των hackers FIN7 για τη διανομή του Domino malware

Πρώην μέλη της ransomware ομάδας Conti έχουν ενώσει τις δυνάμεις τους με τους hackers FIN7 για να διαδώσουν ένα νέο malware με την ονομασία “Domino” και να στοχεύσουν εταιρικά δίκτυα.

Domino malware

Το Domino ανακαλύφθηκε πρόσφατα και αποτελείται από δύο διακριτά στοιχεία: το πρώτο είναι ένα backdoor (Domino Backdoor), που επιτρέπει την εγκατάσταση του δεύτερου component, του ‘Domino Loader‘. Το τελευταίο εισάγει ένα info-stealing malware DLL στη μνήμη ενός άλλου process.

Ερευνητές ασφαλείας της IBM παρακολουθούν τώρα πρώην μέλη των Conti και TrickBot ομάδων που χρησιμοποιούν το νέο Domino malware σε επιθέσεις, από τον Φεβρουάριο του 2023.

Την Παρασκευή, μια νέα έκθεση της IBM αποκάλυψε ότι το κακόβουλο λογισμικό έχει πιθανότατα αναπτυχθεί από τη διαβόητη ομάδα hackers FIN7. Αυτή η εγκληματική οργάνωση του κυβερνοχώρου είναι γνωστή για πολλές αντίστοιχες δραστηριότητες, ενώ συνδέεται και με τις επιχειρήσεις BlackBasta και DarkSide ransomware.

Δείτε επίσης: Kyocera: Εκμεταλλεύεται για τη διανομή κακόβουλου λογισμικού

Domino Malware

Από το φθινόπωρο του 2022, οι ερευνητές της IBM παρακολουθούν επιθέσεις που χρησιμοποιούν ένα malware loader με την ονομασία “Dave Loader“. Το συγκεκριμένο loader είχε προηγουμένως συνδεθεί με τη συμμορία ransomware Conti και τους hackers που χρησιμοποιούσαν το TrickBot.

Το loader χρησιμοποιήθηκε για την ανάπτυξη Cobalt Strike beacons που χρησιμοποιούν ένα ‘206546002’ watermark, που παρατηρήθηκε σε επιθέσεις από πρώην μέλη της Conti.

Επιπλέον, σύμφωνα με τους ερευνητές, το Dave Loader έχει επίσης χρησιμοποιηθεί για την ανάπτυξη του Emotet, το οποίο χρησιμοποιήθηκε σχεδόν αποκλειστικά από τη συμμορία Conti ransomware τον Ιούνιο του 2022 και στη συνέχεια από τις συμμορίες ransomware BlackBasta και Quantum.

Τώρα, η IBM λέει ότι αυτό το Loader χρησιμοποιείται για την εγκατάσταση του νέου Domino malware. Συγκεκριμένα, χρησιμοποιούνταν για την εγκατάσταση του ‘Domino Backdoor‘, το οποίο με τη σειρά του εγκαθιστά το ‘Domino Loader‘.

Το Domino Backdoor είναι ένα 64-bit DLL που μπορεί να συλλέγει δεδομένα από το σύστημα, όπως τα προγράμματα που εκτελούνται, ονόματα χρηστών και ονόματα υπολογιστών. Στη συνέχεια, στέλνει αυτά τα δεδομένα στον Command & Control server των επιτιθέμενων. Επιπλέον, σύμφωνα με τους ερευνητές, το backdoor επιτρέπει την εκτέλεση εντολών ή την εγκατάσταση άλλου κακόβουλου payload.

Όπως είπαμε και παραπάνω, το backdoor χρησιμοποιείται για την εγκατάσταση του δεύτερου component του Domino malware, του Domino Loader, που εγκαθιστά ένα ενσωματωμένο . NET info-stealer πρόγραμμα που ονομάζεται “Nemesis Project”. Μπορεί επίσης να “φυτέψει” ένα Cobalt Strike beacon, για μεγαλύτερο persistence.

Δείτε επίσης: Παραβιασμένα sites διαδίδουν malware μέσω ψεύτικων Chrome updates

Το Domino Backdoor έχει σχεδιαστεί για να έρχεται σε επαφή με μια διαφορετική διεύθυνση C2 για domain-joined συστήματα, κάτι που δείχνει ότι ένα πιο ισχυρό backdoor, όπως το Cobalt Strike, θα χρησιμοποιηθεί σε στόχους υψηλότερης αξίας αντί για το Project Nemesis“, εξηγούν οι ερευνητές της IBM.

Το Project Nemesis είναι ένα τυπικό κακόβουλο λογισμικό κλοπής πληροφοριών που μπορεί να συλλέξει credentials αποθηκευμένα σε προγράμματα περιήγησης και εφαρμογές, πορτοφόλια κρυπτονομισμάτων και ιστορικό προγράμματος περιήγησης.

Conti ransomware

Μέλη της συμμορίας Conti συνεργάζονται με τη FIN7 για το Domino malware

Οι εγκληματίες του κυβερνοχώρου, ιδίως αυτοί που ασχολούνται με επιθέσεις ransomware, συχνά συνεργάζονται με άλλους κακόβουλους φορείς για να εξαπλώσουν malware και να αποκτήσουν πρώτη πρόσβαση στο δίκτυο μιας εταιρείας.

Ενδεικτικά, τα TrickBot, Emotet, BazarBackdoor και QBot (QakBot) malware έχουν χρησιμοποιηθεί πολλές φορές ως πρώτο βήμα για ransomware επιθέσεις από τις συμμορίες REvil, Maze, Egregor, BlackBasta Ryuk και Conti.

Τον τελευταίο καιρό, γίνεται όλο και πιο δύσκολο να γίνει διάκριση μεταξύ των δημιουργών κακόβουλου λογισμικού και των ransomware συμμοριών, λόγω αυτών των συνεργασιών.

Επιπλέον, μετά τη διακοπή των επιχειρήσεων του Conti ransomware, τα μέλη της ομάδας μετακινήθηκαν σε άλλες κακόβουλες δραστηριότητες και ransomware επιχειρήσεις συμπεριλαμβανομένων των Royal, Play, Quantum / Zeon / Dagon, BlackBasta, LockBit και άλλων.

Η IBM πιστεύει ότι η δημιουργία του νέου Domino malware συνδέεται με τους hackers της ομάδας FIN7, λόγω των σημαντικών ομοιοτήτων στον κώδικα του Domino και του Lizar (επίσης γνωστό ως Tirion ή DiceLoader), το οποίο είναι ένα post-exploitation toolkit που χρησιμοποιείται από την FIN7. Επιπλέον, η IBM ανακάλυψε ότι το “NewWorldOrder“, ένα loader που χρησιμοποιείται συνήθως στις επιθέσεις Carbanak της FIN7, χρησιμοποιήθηκε πρόσφατα για τη διάδοση του κακόβουλου λογισμικού Domino.

Δείτε επίσης: Google: Ασφαλές open-source software με Assured OSS πακέτα

FIN7

Έτσι, σε αυτή την περίεργη κοινοπραξία, έχουμε το Dave Loader (TrickBot/Conti) να διανέμει το Domino malware (FIN7), το οποίο με τη σειρά του αναπτύσσει το Project Nemesis ή Cobalt Strike beacons που πιστεύεται ότι σχετίζονται με δραστηριότητα ransomware πρώην μελών της Conti. Αυτό σημαίνει ότι οι υπερασπιστές δικτύων πρέπει να αντιμετωπίσουν έναν συνδυασμό κακόβουλων παραγόντων που προωθούν malware για απομακρυσμένη πρόσβαση σε εταιρικά δίκτυα.

Η κατανόηση του κινδύνου του malware είναι ζωτικής σημασίας για την ασφάλεια των συσκευών μας. Η προστασία από το malware περιλαμβάνει τη χρήση λογισμικού antivirus, την ενημέρωση των λειτουργικών συστημάτων και των εφαρμογών και τον τακτικό έλεγχο των συσκευών για την ανίχνευση ύποπτης δραστηριότητας.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS