Ex-Conti fidye yazılımı üyeleri, kurumsal ağlara yönelik saldırılarda ‘Domino’ adlı yeni bir kötü amaçlı yazılım ailesini dağıtmak için FIN7 tehdit aktörleriyle iş birliği yaptı.
Domino, iki bileşenden oluşan nispeten yeni bir kötü amaçlı yazılım ailesidir; “Domino Arka Kapı” adlı bir arka kapı ve bu da, başka bir işlemin belleğine bilgi çalan kötü amaçlı yazılım DLL’si ekleyen bir “Domino Yükleyici” bırakır.
IBM’in Güvenlik İstihbaratı araştırmacıları, Şubat 2023’ten bu yana saldırılarda yeni kötü amaçlı yazılımı kullanan eski Conti ve TrickBot üyelerini izliyor.
Bununla birlikte, Cuma günü yayınlanan yeni bir IBM raporu, Domino kötü amaçlı yazılımının gerçek gelişimini, çeşitli kötü amaçlı yazılımlarla ve BlackBasta ve DarkSide fidye yazılımı operasyonlarıyla bağlantılı bir siber suçlu grubu olan FIN7 bilgisayar korsanlığı grubuna bağlamaktadır.
Domino Kötü Amaçlı Yazılım saldırıları
2022 sonbaharından bu yana IBM araştırmacıları, eski Conti fidye yazılımı ve TrickBot üyeleriyle bağlantılı “Dave Loader” adlı bir kötü amaçlı yazılım yükleyici kullanarak saldırıları izliyor.
Bu yükleyicinin, Royal ve Play fidye yazılımı operasyonlarındaki eski Conti üyelerinin saldırılarında gözlemlenen ‘206546002’ filigranı kullanan Cobalt Strike işaretlerini dağıttığı görüldü.
IBM, Dave Loader’ın, Haziran 2022’de neredeyse yalnızca Conti fidye yazılımı operasyonu tarafından ve daha sonra BlackBasta ve Quantum fidye yazılımı çeteleri tarafından kullanılan Emotet’i devreye alırken görüldüğünü söylüyor.
Ancak daha yakın bir zamanda IBM, Dave Loader’ın yeni Domino kötü amaçlı yazılım ailesini kurduğunu gördüklerini söylüyor.
En yaygın olarak Dave Loader, ‘Domino Backdoor’u bırakır ve ardından ‘Domino Loader’ı kurardı.
Domino Backdoor, çalışan işlemler, kullanıcı adları, bilgisayar adları gibi sistem bilgilerini sıralayacak ve saldırganın Komuta ve Kontrol sunucusuna geri gönderecek olan 64 bitlik bir DLL’dir. Arka kapı ayrıca yürütülecek komutları veya kurulacak başka yükleri de alır.
Arka kapı, ‘Nemesis Projesi’ adlı yerleşik bir .NET bilgi hırsızını yükleyen ek bir yükleyici olan Domino Loader’ı indirirken görüldü. Ayrıca daha fazla dayanıklılık için bir Cobalt Strike işaretini yerleştirebilir.
IBM araştırmacıları Charlotte Hammond ve Ole, “Domino Arka Kapısı, etki alanına bağlı sistemler için farklı bir C2 adresiyle iletişim kurmak üzere tasarlandı, bu da Cobalt Strike gibi daha yetenekli bir arka kapının Project Nemesis yerine daha yüksek değerli hedeflere indirileceğini gösteriyor” diye açıklıyor. Villadsen.
Project Nemesis, tarayıcılarda ve uygulamalarda, kripto para cüzdanlarında ve tarayıcı geçmişinde saklanan kimlik bilgilerini toplayabilen standart bir bilgi çalan kötü amaçlı yazılımdır.
Eski Conti üyeleri FIN7 ile iş birliği yapıyor
Tehdit aktörleri, özellikle fidye yazılımı kullananlar, kötü amaçlı yazılım dağıtmak ve kurumsal ağlara ilk erişim için genellikle diğer tehdit gruplarıyla ortaklık kurar.
Örneğin, TrickBot, Emotet, BazarBackdoor ve QBot (QakBot), REvil, Maze, Egregor, BlackBasta, Ryuk ve Conti gibi fidye yazılımı işlemlerine ilk erişim sağlama konusunda uzun bir geçmişe sahiptir.
Zamanla, kötü amaçlı yazılım geliştiricileri ile fidye yazılımı çeteleri arasındaki çizgiler belirsizleşerek iki operasyon arasında ayrım yapmayı zorlaştırdı.
Conti siber suç örgütünün kurulmasıyla birlikte, fidye yazılımı operasyonu hem TrickBot’un hem de BazarBackdoor’un kendi operasyonları için gelişiminin kontrolünü üstlendiğinden, bu satırlar daha da azaldı.
Ayrıca, Conti kapatıldıktan sonra fidye yazılımı operasyonu daha küçük hücrelere bölündü ve üyeler fidye yazılımı alanında Royal, Play, Quantum/Zeon/Dagon, BlackBasta, LockBit ve daha fazlası dahil olmak üzere hareket etti.
IBM, Domino kötü amaçlı yazılım ailesini, FIN7 ile ilişkili bir istismar sonrası araç takımı olan Lizar (diğer adıyla Tirion ve DiceLoader) ile büyük miktarda kod örtüşmesi nedeniyle FIN7 ile ilişkilendirmiştir.
Ayrıca IBM, normalde FIN7’nin Carbanak saldırılarında kullanılan ‘NewWorldOrder’ adlı bir yükleyicinin yakın zamanda Domino kötü amaçlı yazılımını zorlamak için kullanıldığını tespit etti.
Bu nedenle, kafa karıştırıcı bir ortak girişimde, Domino (FIN7) kötü amaçlı yazılımını zorlayan Dave Loader (TrickBot/Conti) sahibiz ve bu da karşılığında eski Conti üyesi fidye yazılımı etkinliğiyle ilişkili olduğuna inanılan Project Nemesis veya Cobalt Strike işaretlerini dağıtıyor.
Bu, savunucuların, tümü ağlara uzaktan erişime izin veren kötü amaçlı yazılımlarla dolu, kafa karıştırıcı bir tehdit aktörleri ağıyla uğraşması gerektiği anlamına gelir.