Бывшие участники Conti и группировки FIN7 создали нового вредоноса Domino

Discussion in 'Мировые новости. Обсуждения.' started by alexzir, 18 Apr 2023.

  1. alexzir

    alexzir Well-Known Member

    Joined:
    29 Oct 2019
    Messages:
    972
    Likes Received:
    2,347
    Reputations:
    25
    Эксперты IBM Security Intelligence сообщают, что бывшие участники вымогательской группы Conti объединились с представителями FIN7 для распространения нового семейства малвари Domino, которое атакует корпоративные сети. Domino состоит из двух компонентов: бэкдора и Domino Loader, написанного на Visual C++ и внедряющего в память другого процесса DLL, предназначенный для кражи информации.

    С осени 2022 года исследователи IBM отслеживают атаки с использованием загрузчика Dave Loader, который связан с бывшими членами Conti и TrickBot. Этот загрузчик был замечен в развертывании маяков Cobalt Strike с «водяным знаком» 206546002, что наблюдалось в атаках вымогателей Royal и Play, которые связаны с бывшими участниками Conti.

    Но недавно обнаружилось, что Dave Loader начал распространять новое семейство вредоносных программ Domino (чаще всего — бэкдор Domino, который затем устанавливал Domino Loader).

    Бэкдор Domino представляет собой библиотеку DLL, которая собирает системную информацию (запущенные процессы, имена пользователей, имена компьютеров) и передает ее на управляющий сервер злоумышленников. Бэкдор также получает команды от своих операторов и дополнительные пейлоады для установки.

    Как уже было сказано выше, бэкдор скачивает дополнительный загрузчик Domino Loader, который устанавливает .NET-малварь для кражи данных под названием Nemesis Project. Также он может устанавливать маяки Cobalt Strike для закрепления в системе.

    [​IMG]

    Project Nemesis представляет собой стандартного вредоноса для кражи информации, который может воровать учетные данные, хранящиеся в браузерах и приложениях, криптовалютных кошельках и историю браузера.

    Эксперты связывают семейство Domino с группировкой FIN7 из-за заметных сходств в коде с набором инструментов для пост-эксплуатации Lizar (он же Tirion и DiceLoader). Кроме того, IBM обнаружила, что загрузчик NewWorldOrder, обычно используемый в атаках FIN7 Carbanak, недавно использовался для распространения Domino.

    [​IMG]

    В результате получается, что Dave Loader (связанный с TrickBot/Conti) распространяет малварь Domino (связанную с FIN7), которая, в свою очередь, развертывает в системах жертв маяки Project Nemesis или Cobalt Strike, которые, по мнению экспертов, связаны с активностью бывших вымогателей из группировки Conti.

    Отмечается, что границы между разработчиками вредоносных программ и вымогательским группировками стали настолько размытыми, что это затрудняет обнаружение различий и атрибуцию тех или иных кампаний.
     
    CyberTro1n likes this.
  2. deyunya

    deyunya New Member

    Joined:
    9 Aug 2024
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    你有电报吗?我想从你那里购买很多webshell
     
Loading...