IBM’deki X-Force ekibi kısa bir süre önce, kötü şöhretli bir siber suçlular grubu olan ITG14, diğer adıyla FIN7 tarafından yapılmış, “Domino” olarak bilinen yeni bir kötü amaçlı yazılım ailesi buldu.
X-Force tarafından izlenen bir Trickbot/Conti çetesi olan ITG23, Şubat 2023’ten beri yeni keşfedilen kötü amaçlı yazılım “Domino”yu dağıtıyor.
Bu grubun eski üyeleri, onu bilgi çalma yazılımı dağıtmak için kullanıyor: –
- Nemesis Projesi
- kobalt saldırısı
Domino Backdoor’u enjekte etmek için Dave Loader’ı kullanan son siber saldırılar, muhtemelen ITG23’ün eski üyeleriyle bağlantılıdır.
Yeni kötü amaçlı yazılım ailesi büyük olasılıkla bu kişiler tarafından mevcut veya eski ITG14 geliştiricileriyle işbirliği içinde elde edilmiş ve kullanılmıştır.
Burada Dave, Trickbot/Conti üyeleri tarafından geliştirilmiş bir yükleyicidir. Trickbot/Conti sendikasının eski üyelerinden oluştuğuna inanılırken, yani:-
Siber güvenlik uzmanları, Dave örneklerinin “Domino Backdoor” adlı yeni kötü amaçlı yazılımı yüklemek için kullanıldığını da keşfetti.
domino arka kapı
Bu yeni arka kapı ile sistem hakkında birincil düzeyde bilgi toplamak mümkündür.
Daha sonra toplanan verileri C2’ye iletir ve AES ile şifrelenmiş bir yük alır.
Bu arka kapı tamamen sistem hakkında bilgi toplama yeteneğine sahiptir.
Daha sonra toplanan verileri C2’ye iletir ve AES ile şifrelenmiş bir yük alır.
Siber güvenlik araştırmacıları kısa süre önce bu yükleyici tarafından “206546002” filigranı ile dağıtılan Cobalt Strike işaretlerini tespit etti.
Bu filigran daha önce Royal ve Play operasyonları sırasında eski Conti üyeleri tarafından yapılan fidye yazılımı saldırılarında gözlemlenmişti.
Domino Backdoor esas olarak 64 bitlik bir DLL’dir ve topladığı sistem verileri şöyledir: –
- Çalışan süreçler
- Kullanıcı adları
- bilgisayar adları
Arka kapının yüklenmesinin ardından Domino Loader, .NET üzerine kurulu yerleşik bir bilgi hırsızı olan ‘Nemesis Project’i indirir ve ardından çalıştırılır.
Project Nemesis, saklandıkları aşağıdaki kaynaklardan kimlik bilgilerini kolayca toplayabilir:
- Tarayıcılar
- Uygulamalar
- Kripto para cüzdanları
- Tarayıcı geçmişi
Eski Conti üyeleri ve FIN7 işbirliği
Siber suçlular her zaman yeni fırsatlar arar ve fidye yazılımı tehdit aktörlerinin kötü amaçlı yazılımı yaymak için genellikle diğer gruplarla işbirliği yapması şaşırtıcı değildir.
Siber güvenlik dünyasında işler gölgeleniyor! Zaman geçtikçe, kötü amaçlı yazılım geliştiricileri ile fidye yazılımı çetelerini birbirinden ayırmak zorlaşıyor.
IBM’in en son bulguları, heyecan verici bir keşfe ışık tuttu. Görünüşe göre, genellikle FIN7’nin Carbanak saldırılarıyla ilişkilendirilen ‘NewWorldOrder’ yükleyici, Domino kötü amaçlı yazılımını yaymak için kullanılmış.
Dave Loader’ın, daha sonra Conti grubunun eski bir üyesinin fidye yazılımı eylemleriyle bağlantılı olduğuna inanılan Project Nemesis veya Cobalt Strike işaretlerini yükleyen Domino kötü amaçlı yazılımını yaydığı keşfedildi.
Tehdit aktörlerini tek bir kampanyada birden çok grupla bağlantılı kötü amaçlı yazılım kullandıklarında izlemek zordur. Ne kadar karmaşık olabileceğini açıkça gösterdiği gibi.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndir
Ayrıca Oku
Arka Kapı Kötü Amaçlı Yazılımlarını Dağıtmak için Cobalt Strike’ın Özel Sürümlerini Kullanan Çinli APT Bilgisayar Korsanları
Bilgisayar korsanları, Windows Arka Kapı Kötü Amaçlı Yazılımını Kullanarak Uzaktan Erişim İçin Açık RDP bağlantı noktalarını Kötüye Kullanıyor
Bir Arka Kapı Kötü Amaçlı Yazılımını Gizlemek İçin Eski Windows Logosunu Kullanan Çinli APT Hacker Grubu
TA505 APT Bilgisayar Korsanları Silahlı Excel Belgeleri Aracılığıyla ServHelper Arka Kapı Kötü Amaçlı Yazılımını Başlatıyor