Бывшие участники Conti и группировки FIN7 создали нового вредоноса Domino

Эксперты IBM Security Intelligence сообщают, что бывшие участники вымогательской группы Conti объединились с представителями FIN7 для распространения нового семейства малвари Domino, которое атакует корпоративные сети. Domino состоит из двух компонентов: бэкдора и Domino Loader, написанного на Visual C++ и внедряющего в память другого процесса DLL, предназначенный для кражи информации.

С осени 2022 года исследователи IBM отслеживают атаки с использованием загрузчика Dave Loader, который связан с бывшими членами Conti и TrickBot. Этот загрузчик был замечен в развертывании маяков Cobalt Strike с «водяным знаком» 206546002, что наблюдалось в атаках вымогателей Royal и Play, которые связаны с бывшими участниками Conti.

Но недавно обнаружилось, что Dave Loader начал распространять новое семейство вредоносных программ Domino (чаще всего — бэкдор Domino, который затем устанавливал Domino Loader).

Бэкдор Domino представляет собой библиотеку DLL, которая собирает системную информацию (запущенные процессы, имена пользователей, имена компьютеров) и передает ее на управляющий сервер злоумышленников. Бэкдор также получает команды от своих операторов и дополнительные пейлоады для установки.

Как уже было сказано выше, бэкдор скачивает дополнительный загрузчик Domino Loader, который устанавливает .NET-малварь для кражи данных под названием Nemesis Project. Также он может устанавливать маяки Cobalt Strike для закрепления в системе.



Project Nemesis представляет собой стандартного вредоноса для кражи информации, который может воровать учетные данные, хранящиеся в браузерах и приложениях, криптовалютных кошельках и историю браузера.

Эксперты связывают семейство Domino с группировкой FIN7 из-за заметных сходств в коде с набором инструментов для пост-эксплуатации Lizar (он же Tirion и DiceLoader). Кроме того, IBM обнаружила, что загрузчик NewWorldOrder, обычно используемый в атаках FIN7 Carbanak, недавно использовался для распространения Domino.



В результате получается, что Dave Loader (связанный с TrickBot/Conti) распространяет малварь Domino (связанную с FIN7), которая, в свою очередь, развертывает в системах жертв маяки Project Nemesis или Cobalt Strike, которые, по мнению экспертов, связаны с активностью бывших вымогателей из группировки Conti.

Отмечается, что границы между разработчиками вредоносных программ и вымогательским группировками стали настолько размытыми, что это затрудняет обнаружение различий и атрибуцию тех или иных кампаний.

18.04.2023
https://xakep.ru/2023/04/18/domino/
https://www.bleepingcomputer.com/ne...fin7-devs-team-up-to-push-new-domino-malware/​

 

你有电报吗？我想从你那里购买很多webshell