Domino-Malware-Erkennung: Ex-Conti und FIN7 Bedrohungsakteure kooperieren zur Verbreitung eines neuen Backdoors

Cybersicherheitsforscher haben eine neue Malware-Familie namens Domino entdeckt, die der Aktivitäten eines finanziell motivierten, von Russland unterstützten FIN7 APT-Gruppezugeschrieben wird. Cyberverteidiger bringen die Nutzung von Domino auch mit einer ehemaligen Hackergruppe namens Trickbot aka Contiin Verbindung, die es seit mindestens Februar 2023 in bösartigen Kampagnen einsetzt, um die Project Nemesis-Infostealer-Malware oder sogar fortgeschrittenere Backdoors wie CobaltStrike.

Domino-Angriffe erkennen

Finanziell motivierte Bedrohungsakteure arbeiten häufig mit anderen Hacker-Kollektiven zusammen, um ihre Gewinne durch die Nutzung zusätzlicher Malware-Vertriebskanäle zu steigern. Die jüngste Untersuchung zeigt die Partnerschaft zwischen den Gruppen Conti und FIN7 zur Bereitstellung der Domino-Backdoor und zur Fortsetzung der Project Nemesis-Infostealer-Infektion. Um die bösartigen Aktivitäten im Zusammenhang mit den neuesten Domino-Malware-Operationen zu erkennen, bietet die SOC Prime-Plattform eine kuratierte Sigma-Regel von unserem erfahrenen Threat Bounty-Entwickler Mise:

Mögliche FIN7-Bedrohungsgruppe [Ex-Conti] Kampagne mit Domino-Backdoor durch Erkennung zugehöriger Dateien (via file_event)

Diese Regel erkennt verdächtige .dll- und .exe-Dateien, die mit der neu entdeckten Domino-Backdoor in der FIN7-Kampagne in Verbindung stehen. Die Erkennung ist mit 21 SIEM-, EDR-, XDR- und BDP-Lösungen kompatibel und auf den MITRE ATT&CK-Framework v12 abgestimmt und adressiert die Taktik Ausführung mit Benutzerausführung (T1204) als entsprechende Technik.

Cybersicherheits-Enthusiasten, die eine Möglichkeit suchen, ihre Fähigkeiten im Bereich Bedrohungsjagd und Detektionstechnik zu monetarisieren, sind willkommen, dem SOC Prime Threat Bounty-Programm für Cyberverteidiger beizutreten. Teilen Sie Ihre eigenen Sigma-Regeln, lassen Sie sie verifizieren und auf der SOC Prime-Plattform veröffentlichen und erhalten Sie wiederkehrende Auszahlungen für Ihren Beitrag.

Aufgrund der ständig zunehmenden Anzahl finanziell motivierter Angriffe suchen Organisationen nach einer zuverlässigen Quelle für Erkennungsinhalte, um mögliche Eindringlinge proaktiv zu erkennen. Durch Klicken auf die Schaltfläche „Erkennungen erkunden“ unten können Verteidiger sofort die gesamte Liste der Sigma-Regeln erreichen, die dazu beitragen, die bösartigen Aktivitäten im Zusammenhang mit der Conti-Gruppe zu identifizieren. Alle Erkennungsalgorithmen sind mit CTI, ATT&CK-Links, ausführbaren Binärdateien und weiteren relevanten Metadaten zur vereinfachten Bedrohungsermittlung angereichert.

Erkennungen erkunden

Analyse der Domino-Backdoor in Verbindung mit FIN7- und Ex-Conti-Gruppen

Eine neuartige Malware mit dem Namen Domino-Backdoor und der bekannten FIN7 -Hacker-Kollektiv zugeschrieben, wurde auch von den ehemaligen Mitgliedern der Conti-Ransomware-Bandegenutzt, was auf die Zusammenarbeit dieser beiden mit Russland verbundenen offensiven Kräfte hindeutet.

Die neue Malware sammelt grundlegende Systeminformationen, sendet Daten an den C2-Server und liefert andere Nutzdaten auf die kompromittierten Systeme, einschließlich Infostealern, die zur Datenexfiltration verwendet werden. Die Backdoor stand seit mindestens Mitte Herbst 2022 im Rampenlicht der Cyber-Bedrohungsarena. Der Code von Domino, einschließlich der Konfigurationsstruktur, der Bot-ID-Formate und der Hauptfunktionen, hat viel gemeinsam mit Lizar (aka Tirion oder DICELOADER -Malware), die ebenfalls zuvor mit dem FIN7-Hacker-Kollektiv in Verbindung gebracht wurde.

Laut den IBM Security X-Force-Forschernwurde die Lizar-Malware später durch Domino ersetzt, das in den neuesten Cyberangriffen eine führende Position einnahm. Seit Ende Winter 2023 laden Bedrohungsakteure die Domino-Backdoor mithilfe von Dave Loader, der der Trickbot-, auch bekannt als Conti-Gruppe und ihren ehemaligen Mitgliedern zugeschrieben wird. Dave Loader wurde zuvor in bösartigen Kampagnen als Mittel zum Laden anderer Malware-Beispiele wie IcedID and Emotet, und diente als erste Zugangspunkte für Ransomware-Operationen durch Ex-Conti-Mitglieder. Darüber hinaus wurde die Project Nemesis-Infostealer-Malware, die als eine der endgültigen Nutzdaten der Domino-Backdoor gilt, seit über zwei Jahren aktiv in Hackerforen beworben.

Die Domino-Backdoor ist eine 64-Bit-DLL, die in der Programmiersprache Visual C++ entwickelt wurde. Einmal ausgeführt, verbreitet die Malware die Infektion, indem sie eine Bot-ID für das kompromittierte System erstellt, indem sie den Benutzernamen und den Hostnamen abruft und einen Hash der empfangenen Daten generiert, an den die Backdoor weiter ihre aktuelle Prozess-ID anhängt. Anschließend entschlüsselt die Malware den Konfigurationsblock über XOR und erstellt einen zufälligen 32-Byte-Schlüssel, der über den RSA-Schlüssel verschlüsselt wird. Nach erfolgreichem Verbinden mit dem C2-Server versucht die Domino-Backdoor, die grundlegenden Systemdaten zu sammeln, diese zu verschlüsseln und an den Remote-Server zu senden. Infolgedessen erwartet die Malware, vom C2 die entschlüsselte Nutzdaten zu erhalten, die sie dann weiter entschlüsselt, lädt und ausführt, um die Infektion weiter zu verbreiten.

Wachsende Volumina und die zunehmende Raffinesse der finanziell motivierten Angriffe erfordern maximale Reaktionsfähigkeit von Cyberverteidigern. Verlassen Sie sich auf SOC Prime, um vollständig mit Erkennungsinhalten ausgestattet zu sein, die die neuesten Malware-Bedrohungen adressieren. Erfahren Sie mehr über neue und aufstrebende Bedrohungen unter https://socprime.com/ und erreichen Sie jene, die auf das Bedrohungsprofil Ihrer Organisation mit einem On-Demand-Abonnement zugeschnitten sind unter https://my.socprime.com/pricing.