18.04.2023 | Плодотворное сотрудничество бывших хакеров Conti с группировкой FIN7 привело к распространению вредоносов Domino и Nemesis |
Новый штамм вредоносного ПО, разработанный злоумышленниками, имеющими связи с киберпреступной группировкой FIN7 , был использован бывшими членами ныне несуществующей банды вымогателей Conti, что указывает на сотрудничество между двумя хакерскими объединениями. Вредоносное ПО, получившее название Domino, в первую очередь предназначено для облегчения последующей эксплуатации зловредного софта в скомпрометированных системах. «Бывшие члены синдиката TrickBot/Conti используют Domino как минимум с конца февраля 2023 года для доставки похитителя информации Project Nemesis либо более мощных бэкдоров, таких как Cobalt Strike» , — заявила исследователь безопасности IBM Security X-Force в отчёте, опубликованном на прошлой неделе . Группировка FIN7, также известная как Carbanak и ITG14, — плодовитый русскоязычный синдикат киберпреступников, который использует множество кастомных вредоносных программ для развертывания различных полезных нагрузок. Последняя волна вторжений, обнаруженная IBM Security X-Force два месяца назад, связана с использованием загрузчика Dave Loader для развертывания бэкдора Domino.
Схема атаки Domino Потенциальные связи Domino с FIN7 заключаются в совпадении исходного кода нового вредоноса с DICELOADER (он же Lizar или Tirion), приписываемый как раз группе FIN7. Данное вредоносное ПО предназначено для сбора конфиденциальной информации и извлечения зашифрованных полезных данных с удалённого сервера злоумышленников. На следующем этапе заражения в игру вступает уже второй загрузчик под кодовым названием Domino Loader, который содержит зашифрованную программу для кражи информации, известную как Project Nemesis, способную собирать конфиденциальные данные из буфера обмена, Discord, веб-браузеров, криптокошельков, VPN-сервисов и других приложений. Еще одно важное событие, связывающее Domino с FIN7, датируется декабрём прошлого года, когда для доставки бэкдоров Domino и Carbanak использовался один и тот же загрузчик — NewWorldOrder Loader. Такая «матрёшка» из вредоносных программ и загрузчиков, используемая в этой кампании, не является какой-то принципиально новой схемой. В ноябре 2022 года Microsoft Threat Intelligence сообщала о кибератаках, организованных злоумышленником, известным как DEV-0569. Он использовал вредоносное ПО BATLOADER для доставки Vidar и Cobalt Strike, последний из которых в конечном итоге способствовал развёртыванию программы-вымогателя Royal. «Использование вредоносных программ, связанных сразу с несколькими группами злоумышленников в рамках одной кампании, таких как Dave Loader, Domino Backdoor и Project Nemesis Infostealer, — подчёркивает сложность отслеживания киберпреступников, но также дает представление о том, как и с кем они сотрудничают», — заключил исследователь IBM Security. |
Проверить безопасность сайта