Ex-Conti fidye yazılımı üyeleri, kurumsal ağlara yapılan saldırılarda 'Domino' adlı yeni bir kötü amaçlı yazılım ailesi dağıtmak için FIN7 tehdit aktörleriyle birlikte çalıştılar.
Domino, iki bileşenden oluşan nispeten yeni bir kötü amaçlı yazılımdır, 'Domino Backdoor' adlı bir arka kapı, bu da başka bir sürecin belleğine infokser bir kötü amaçlı yazılım DLL'yi enjekte eden bir 'domino yükleyici' bırakır.
IBM'in güvenlik istihbarat araştırmacıları, Şubat 2023'ten bu yana yeni kötü amaçlı yazılımları kullanan eski Conti ve hilebot üyelerini izliyorlar.
Bununla birlikte, Cuma günü yayınlanan yeni bir IBM raporu, Domino kötü amaçlı yazılımların gerçek gelişimini Fin7 hackleme grubuna bağlar - çeşitli kötü amaçlı yazılımlara ve Blackbasta ve Darkside fidye yazılımları işlemlerine bağlı siber suçlu.
2022 sonbaharından bu yana, IBM araştırmacıları, eski Conti fidye yazılımı ve hile bot üyelerine bağlı 'Dave Loader' adlı bir kötü amaçlı yazılım yükleyici kullanarak saldırıları izliyorlar.
Bu yükleyici, kraliyet ve oyun fidye yazılımı operasyonlarında eski Conti üyelerinin saldırılarında gözlemlenen bir '206546002' filigranını kullanan kobalt grev işaretçileri kullanıldı.
IBM, Dave Loader'ın neredeyse sadece Haziran 2022'de Conti fidye yazılımı operasyonu ve daha sonra Blackbasta ve Quantum fidye yazılımı çeteleri tarafından kullanılan Emotet'in dağıtıldığı görüldüğünü söyledi.
Ancak, daha yakın zamanda IBM, Dave Loader'ın yeni Domino kötü amaçlı yazılım ailesini kurduğunu gördüklerini söylüyor.
En yaygın olarak Dave Loader, daha sonra 'Domino Loader'ı yükleyecek olan' Domino Backdoor'u düşürecekti.
Domino Backdoor, çalışma işlemleri, kullanıcı adları, bilgisayar adları gibi sistem bilgilerini numaralandıracak ve saldırganın komut ve kontrol sunucusuna geri gönderecek 64 bit DLL'dir. Arka kapı ayrıca yürütme komutları veya yüklemek için daha fazla yük alır.
Arka kapı, 'Nemesis Project' adlı gömülü bir .NET Info-Stealer yükleyen ek bir yükleyici Domino Loader'ı indirdi. Ayrıca daha fazla kalıcılık için bir kobalt grev işareti dikebilir.
IBM araştırmacıları Charlotte Hammond ve Ole, "Domino Backdoor, Domain tarafından birleştirilmiş sistemler için farklı bir C2 adresiyle temasa geçecek şekilde tasarlanmıştır, bu da Kobalt Strike gibi daha yetenekli bir arka kapı, proje nemesis yerine daha yüksek değerli hedeflere indirilecek" diye açıklıyor IBM araştırmacıları Charlotte Hammond ve OLE Villadsen.
Project Nemesis, tarayıcılar ve uygulamalarda, kripto para birimi cüzdanlarında ve tarayıcı geçmişinde depolanan kimlik bilgilerini toplayabilen standart bir bilgi çalan kötü amaçlı yazılımdır.
Tehdit aktörleri, özellikle fidye yazılımı kullananlar, kötü amaçlı yazılım dağıtmak ve kurumsal ağlara ilk erişim için genellikle diğer tehdit gruplarıyla ortaklık kurar.
Örneğin, Trickbot, Emotet, Bazarbackdoor ve Qbot (Qakbot), Revil, Labirent, Egregor, Blackbasta, Ryuk ve Conti gibi fidye yazılımları operasyonlarına ilk erişim sağlama konusunda uzun bir geçmişe sahiptir.
Zamanla, kötü amaçlı yazılım geliştiricileri ve fidye yazılımı çeteleri arasındaki çizgiler karanlıklaştı ve iki işlem arasında ayrım yapmayı zorlaştırdı.
Conti siber suç sendikasının oluşumu ile, fidye yazılımı operasyonu hem hile bot hem de Bazarbackdoor'un kendi operasyonları için gelişiminin kontrolünü üstlendiği için bu çizgiler daha da azaldı.
Ayrıca, Conti kapattıktan sonra, fidye yazılımı operasyonu daha küçük hücrelere ayrıldı, üyeler Royal, Play, Quantum/Zeon/Dagon, Blackbasta, Lockbit ve daha fazlası dahil olmak üzere fidye yazılımı alanının her yerinde hareket ediyor.
IBM, FIN7 ile ilişkili bir sömürü sonrası araç seti olan Lizar (Tirion ve Delikoader olarak adlandırılan) ile büyük bir kod örtüşmesi nedeniyle Domino kötü amaçlı yazılım ailesini FIN7'ye bağladı.
Ayrıca IBM, normalde Fin7'nin Carbanak saldırılarında kullanılan 'NewWorldderder' adlı bir yükleyicinin yakın zamanda Domino kötü amaçlı yazılımları zorlamak için kullanıldığını buldu.
Bu nedenle, kafa karıştırıcı bir ortak girişimde, Domino (FIN7) kötü amaçlı yazılımları iten Dave Loader (Trickbot/Conti) var, bu da Project Nemesis veya Ex-Conti üye fidye yazılımı etkinliği ile ilişkili olduğuna inanılan kobalt grev işaretlerini dağıtıyor.
Bu, savunucuların, ağlara uzaktan erişim sağlayan kötü amaçlı yazılımlarla kafa karıştırıcı bir tehdit aktörleri ağıyla uğraşmaları gerektiği anlamına gelir.
3CX, tedarik zinciri saldırısının arkasındaki Kuzey Koreli bilgisayar korsanlarını onayladı
Kripto para birimi şirketleri 3CX tedarik zinciri saldırısında geri yüklendi
Conti tabanlı fidye yazılımı ‘Meowcorp’ Ücretsiz Decryptor alır
Microsoft yamaları Windows Sıfır Gün
Microsoft OneNote dosyalarının pencereleri kötü amaçlı yazılımlarla enfekte etmesini nasıl önleyebilirim
Kaynak: Bleeping Computer