Conti fidye yazılımı grubunun eski üyeleri, finansal amaçlarla FIN7 grubunun geliştirdiği kötü amaçlı yazılımları kullanarak takip eden istismarlar için sistemlerden taviz veriyor; FIN7, en azından geçen Ekim ayından bu yana kendi saldırılarında “Domino” aracını kullandı.
Kampanya, farklı amaçlara ve tekniklere sahip farklı tehdit gruplarının genellikle ayrı hedeflerine ulaşmak ve siber suç ekonomisindeki bireysel operasyonlarını genişletmek için nasıl birlikte çalıştıklarını gösteren en son örnek.
Domino Etkisi
IBM Security X-Force kısa bir süre önce, Conti grubunun bir parçası olan ve FIN7’nin Domino kötü amaçlı yazılımını etki alanına bağlı bilgisayarlara Cobalt Strike istismar sonrası araç setini veya “Project Nemesis” adlı bir bilgi hırsızını bireysel sistemlere bırakmak için kullanan tehdit aktörlerini gözlemledi. .
X-Force araştırmacıları, Conti tehdit aktörlerinin (çete geçen Mayıs ayında dağıldı) Domino’yu Şubat ayında, yani FIN7’nin geçtiğimiz Ekim ayında kötü amaçlı yazılımı ilk kez kullanmaya başlamasından yaklaşık dört ay sonra kullanmaya başladığını belirledi.
Kampanyada tehdit aktörleri, FIN7’nin Domino arka kapısını düşürmek için “Dave” adlı bir Conti yükleyici kullandı. Arka kapı, ana sistem hakkında temel bilgileri topladı ve harici bir komuta ve kontrol sunucusuna (C2) gönderdi. Buna karşılık C2, güvenliği ihlal edilmiş sisteme AES şifreli bir yük döndürdü. Çoğu durumda şifrelenmiş yük, ilk Domino arka kapısına çok sayıda kod benzerliği olan başka bir yükleyiciydi. Domino yükleyici, güvenliği ihlal edilmiş sisteme Cobalt Strike veya Project Nemesis bilgi hırsızı yüklediğinde saldırı zinciri tamamlandı.
IBM Security kötü amaçlı yazılımı tersine çevirme mühendisi Charlotte Hammond, “Domino arka kapısı, etki alanına bağlı sistemler için farklı bir C2 adresiyle iletişim kurmak üzere tasarlandı, bu da Cobalt Strike gibi daha yetenekli bir arka kapının Project Nemesis yerine daha yüksek değerli hedeflere indirileceğini gösteriyor” dedi. kampanya ile ilgili bir analiz.
IBM X-Force araştırmacıları, Domino’yu ilk olarak geçen yıl FIN7 kötü amaçlı yazılımı olarak, daha önce zaten FIN7’ye atfettikleri bir kötü amaçlı yazılım ailesi olan Lizar (diğer adıyla DiceLoader veya Tirion) arasındaki birkaç kod benzerliğini gözlemledikten sonra tanımladı. Hem Domino hem de DiceLoader benzer kodlama stillerine ve işlevlerine, benzer bir yapılandırma yapısına sahiptir ve bot tanımlaması için aynı biçimleri kullanır. X-Force araştırmacıları, Domino’yu araştırmacıların daha önce FIN7 ile ilişkilendirdiği Carbanak bankacılık Truva Atı’na bağlayan kanıtlar da buldu.
İşbirliğinin Karmaşık Doğası
Hammond, kötü amaçlı yazılımın eski Conti grubu üyeleri tarafından kullanılmasının “siber suç grupları ve üyeleri arasındaki karmaşık işbirliğinin altını çizdiğini” söyledi. Güvenlik analistleri, bu tür işbirliklerinin kuruluşlar ve bireyler için nasıl önemli bir tehdit oluşturabileceğini, çünkü genellikle ayrı varlıklar olarak mümkün olandan daha karmaşık ve başarılı saldırıları mümkün kıldıklarını belirtiyorlar.
FIN7 için yeni kampanya, tehdit grubunun ayak izini genişletme çabalarını sürdürüyor. FIN7 2012’de ortaya çıktı ve ödeme kartı verilerini çalarak ve satarak dişlerini çıkardı – bu ona yüz milyonlarca dolar kazandıran bir faaliyetti. Grup yıllar içinde fidye yazılımı ekosistemine genişledi ve ayrıca diğer tehdit grupları için fidye yazılımı saldırıları ve kötü amaçlı yazılım dağıtımını etkinleştirerek para kazandı. Tehdit aktörü, esas olarak perakende ve konaklama sektörü kuruluşlarına odaklandıktan sonra, hedef listesini savunma, ulaşım, BT sunucuları, finansal hizmetler ve kamu hizmetleri dahil olmak üzere çok sayıda başka sektördeki kuruluşları da içerecek şekilde genişletti.
Güvenlik araştırmacıları, tehdit aktörünün ilk ortaya çıktığından beri kurbanlardan 1,2 milyar dolardan fazla çaldığını tahmin ediyor.
Geçen yıl Mandiant’taki araştırmacılar, Fin7’yi aralarındaki taktik, teknik ve prosedürlerdeki (TTP’ler) benzerliklere dayalı olarak önceden ilişkilendirilmemiş düzinelerce tehdit faaliyeti kümesine bağlayabildiler. Bunların arasında yalnızca 2020’den beri Mandiant müşteri lokasyonlarına en az bir düzine izinsiz giriş vardı. ABD kolluk kuvvetleri FIN7 faaliyetlerini birçok kez engellemeye çalıştı ve hatta 2018’de üst düzey bir grup yöneticisini hapishaneye göndermeyi başardı. Ancak şimdiye kadar grubu durdurma girişimleri başarısız oldu.