Detección de Malware Domino: Actores de Amenazas Ex-Conti y FIN7 Colaboran para Difundir un Nuevo Backdoor

Los investigadores de ciberseguridad han descubierto una nueva familia de malware llamada Domino atribuida a la actividad adversaria del grupo de amenazas financiadas por Rusia FIN7 APT. Los defensores cibernéticos también vinculan el uso de Domino con otro grupo de hackers anterior conocido como Trickbot, también conocido como Conti, que se ha utilizado en la campaña maliciosa por parte de los últimos actores de amenazas desde al menos febrero de 2023 para propagar el malware de robo de información Project Nemesis o incluso puertas traseras más avanzadas como CobaltStrike.

Detección de Ataques de Domino

Los actores de amenazas motivados financieramente frecuentemente cooperan con otros colectivos de hackers para aumentar sus ganancias aprovechando canales adicionales de distribución de malware. La investigación más reciente revela la asociación entre los grupos Conti y FIN7 para entregar la puerta trasera Domino y proceder con la infección del ladrón de información Project Nemesis. Para detectar la actividad maliciosa asociada con las últimas operaciones de malware Domino, SOC Prime Platform ofrece una regla Sigma curada por nuestro ávido desarrollador de amenazas recompensadas Mise:

Posible campaña del Grupo de Amenazas FIN7 [Ex-Conti] con puerta trasera Domino detectando archivos asociados (via file_event)

Esta regla detecta archivos .dll y .exe sospechosos asociados con la recién detectada puerta trasera Domino en la campaña de FIN7. La detección es compatible con 21 soluciones SIEM, EDR, XDR y BDP y está alineada con el marco MITRE ATT&CK v12, abordando la táctica de Ejecución con Ejecución de Usuario (T1204) como la técnica correspondiente.

Los entusiastas de la ciberseguridad que buscan una manera de monetizar sus habilidades de caza de amenazas e ingeniería de detección son bienvenidos a unirse a SOC Prime Programa de Recompensas por Amenazas para defensores cibernéticos. Comparta sus propias reglas Sigma, verifíquelas y publíquelas en la plataforma de SOC Prime, y reciba pagos recurrentes por su contribución.

Debido al aumento constante de ataques motivados financieramente, las organizaciones buscan una fuente confiable de contenido de detección para detectar proactivamente posibles intrusiones. Al hacer clic en el botón Explorar Detecciones a continuación, los defensores pueden acceder de inmediato a la lista completa de reglas Sigma que ayudan a identificar la actividad maliciosa asociada con el grupo Conti. Todos los algoritmos de detección están enriquecidos con CTI, enlaces ATT&CK, binarios ejecutables y más metadatos relevantes para simplificar la investigación de amenazas.

Explorar Detecciones

Análisis de la Puerta Trasera Domino Vinculada a los Grupos FIN7 y Ex-Conti

Un nuevo malware apodado puerta trasera Domino y atribuido al notorio colectivo de hackers FIN7 también ha sido aprovechado por los ex-miembros de la banda de ransomware Conti, lo que apunta a la colaboración entre estas dos fuerzas ofensivas vinculadas a Rusia.

El nuevo malware recopila información básica del sistema, envía datos al servidor C2 y entrega otras cargas útiles en los sistemas comprometidos, incluidos ladrones de información utilizados para la exfiltración de datos. La puerta trasera ha estado en el punto de mira de la arena de amenazas cibernéticas desde al menos mediados de otoño de 2022. El código de Domino, incluida la estructura de configuración, formatos de ID de bot y capacidades clave, tiene mucho en común con Lizar (también conocido como Tirion o DICELOADER malware), que también se vinculó anteriormente con el colectivo de hackers FIN7.

Según los investigadores de IBM Security X-Force, el malware Lizar fue luego reemplazado por Domino, que ocupó una posición destacada en los últimos ciberataques. Desde finales del invierno de 2023, los actores de amenazas han estado cargando la puerta trasera de Domino usando Dave Loader, atribuido a Trickbot, también conocido como grupo Conti, y sus antiguos afiliados. Dave Loader se observó anteriormente en campañas maliciosas como un medio para cargar otras muestras de malware, como IcedID and Emotet, y sirvió como vectores de acceso inicial para operaciones de ransomware por parte de ex-miembros de Conti. Además, el malware de robo de información Project Nemesis, que se considera una de las cargas útiles finales de Domino, ha sido anunciado activamente en foros de hackers durante más de dos años.

La puerta trasera Domino es un DLL de 64 bits desarrollado en el lenguaje de programación Visual C++. Una vez ejecutado, el malware propaga la infección creando un ID de Bot para el sistema comprometido al recuperar el nombre de usuario y el nombre de host y generar un hash de los datos recibidos, al que la puerta trasera añade posteriormente su ID de proceso actual. Luego, el malware descifra el bloque de configuración mediante XOR y crea una clave aleatoria de 32 bytes, que es encriptada mediante la clave RSA. Al conectarse exitosamente al servidor C2, la puerta trasera Domino intenta recopilar datos básicos del sistema, cifrarlos y enviarlos al servidor remoto. Como resultado, el malware espera recibir del C2 la carga útil descifrada, que luego descifra, carga y ejecuta para propagar aún más la infección.

El creciente volumen y sofisticación de los ataques motivados financieramente requieren una ultra-respuesta de los defensores cibernéticos. Confíe en SOC Prime para estar completamente equipado con contenido de detección que aborde las últimas amenazas de malware. Obtenga más información sobre amenazas nuevas y emergentes en https://socprime.com/ y acceda a aquellos adaptados al perfil de amenazas de su organización con la suscripción On Demand en https://my.socprime.com/pricing.