Membros antigos do ransomware Conti se uniram aos atores de ameaças FIN7 para distribuir uma nova família de malware chamada 'Domino' em ataques a redes corporativas.
Domino é uma família de malware relativamente nova composta por dois componentes: um backdoor chamado 'Domino Backdoor', que por sua vez solta um 'Domino Loader' que injeta uma DLL de malware de roubo de informações na memória de outro processo.
Os pesquisadores de segurança da inteligência da IBM têm monitorado ex-membros do Conti e do TrickBot utilizando o novo malware em ataques desde fevereiro de 2023.
No entanto, um novo relatório da IBM lançado na sexta-feira liga o desenvolvimento real do malware Domino ao grupo de hackers FIN7 - um grupo de criminosos cibernéticos ligado a uma variedade de malwares e às operações de ransomware BlackBasta e DarkSide.
Desde o outono de 2022, os pesquisadores da IBM têm monitorado ataques usando um carregador de malware chamado 'Dave Loader' que está ligado a ex-membros do ransomware Conti e TrickBot.
Este carregador foi visto implantando beacons do Cobalt Strike que utilizam uma marca d'água '206546002', observada em ataques realizados por ex-membros do Conti nas operações de ransomware Royal e Play.
A IBM afirma que o Dave Loader também foi visto implantando o Emotet, que foi usado quase exclusivamente pela operação de ransomware Conti em junho de 2022 e depois pelos grupos de ransomware BlackBasta e Quantum.
No entanto, mais recentemente, a IBM afirma ter visto o Dave Loader instalando a nova família de malware Domino.
Mais comumente, o Dave Loader deixaria cair o 'Domino Backdoor', que então instalaria o 'Domino Loader'.
O Domino Backdoor é uma DLL de 64 bits que enumerará informações do sistema, como processos em execução, nomes de usuários, nomes de computador, e as enviará de volta ao servidor de comando e controle do atacante.
O backdoor também recebe comandos para executar ou instalar mais payloads.
O backdoor foi visto baixando um carregador adicional, o Domino Loader, que instala um ladrão de informações .NET embutido chamado 'Nemesis Project'.
Ele também pode plantar um beacon do Cobalt Strike para uma maior persistência.
"O Domino Backdoor é projetado para entrar em contato com um endereço C2 diferente para sistemas associados ao domínio, sugerindo que um backdoor mais capaz, como o Cobalt Strike, será baixado em alvos de maior valor em vez do Project Nemesis", explicam os pesquisadores da IBM, Charlotte Hammond e Ole Villadsen.
O Projeto Nemesis é um malware padrão de roubo de informações que pode coletar credenciais armazenadas em navegadores e aplicativos, carteiras de criptomoeda e histórico de navegação.
Atores de ameaças, especialmente aqueles que utilizam ransomware, geralmente se associam a outros grupos de ameaças para distribuir malware e obter acesso inicial às redes corporativas.
Por exemplo, o TrickBot, Emotet, BazarBackdoor e QBot (QakBot) têm uma longa história de fornecer acesso inicial a operações de ransomware, como REvil, Maze, Egregor, BlackBasta, Ryuk e Conti.
Com o tempo, as linhas entre os desenvolvedores de malware e as gangues de ransomware ficaram turvas, tornando difícil distinguir entre as duas operações.
Com a formação do sindicato do crime cibernético Conti, essas linhas desapareceram ainda mais, já que a operação de ransomware assumiu o controle do desenvolvimento do TrickBot e BazarBackdoor para suas próprias operações.
Além disso, depois que o Conti fechou, a operação de ransomware se dividiu em células menores, com membros se movendo por todo o espaço de ransomware, incluindo Royal, Play, Quantum/Zeon/Dagon, BlackBasta, LockBit e outros.
A IBM atribuiu a família de malware Domino ao FIN7 devido a uma grande quantidade de sobreposição de código com Lizar (também conhecido como Tirion e DiceLoader), um kit de ferramentas pós-exploração associado ao FIN7.
Além disso, a IBM descobriu que um carregador chamado 'NewWorldOrder', normalmente usado nos ataques Carbanak do FIN7, foi recentemente usado para empurrar o malware Domino.
Portanto, em uma confusa empreitada conjunta, temos o Dave Loader (TrickBot/Conti) empurrando o malware Domino (FIN7), que por sua vez implanta Project Nemesis ou beacons do Cobalt Strike acreditados estar associados à atividade de ransomware de ex-membros do Conti.
Isso significa que os defensores têm que lidar com uma teia confusa de atores de ameaças, todos com malware permitindo acesso remoto às redes.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...