Détection du Malware Domino : Collaboration des Acteurs de Menace Ex-Conti et FIN7 pour Répandre une Nouvelle Porte Dérobée

Des chercheurs en cybersécurité ont découvert une nouvelle famille de logiciels malveillants appelée Domino attribuée à l’activité d’adversaire du groupe FIN7 soutenu par la Russie groupe APT FIN7. Les défenseurs du cyberespace associent également l’utilisation de Domino à un autre ancien groupe de hackers connu sous le nom de Trickbot alias Conti, qui a été utilisé dans la campagne malveillante par ces acteurs de la menace depuis au moins février 2023 pour propager le malware voleur d’informations Project Nemesis ou même des portes dérobées plus avancées comme CobaltStrike.

Détection des Attaques Domino

Les acteurs de la menace motivés financièrement coopèrent fréquemment avec d’autres collectifs de hackers pour augmenter leurs gains en utilisant des canaux supplémentaires de distribution de logiciels malveillants. La recherche la plus récente révèle le partenariat entre les groupes Conti et FIN7 pour livrer la porte dérobée Domino et poursuivre l’infection par le voleur d’informations Project Nemesis. Pour détecter l’activité malveillante liée aux dernières opérations malveillantes de Domino, la plateforme SOC Prime fournit une règle Sigma sélectionnée par notre développeur Threat Bounty expérimenté Mise:

Campagne Possible du Groupe de Menace FIN7 [Ex-Conti] avec la Porte Dérobée Domino par Détection des Fichiers Associés (via file_event)

Cette règle détecte les fichiers .dll et .exe suspects associés à la nouvelle porte dérobée Domino détectée dans la campagne FIN7. La détection est compatible avec 21 solutions de SIEM, EDR, XDR et BDP et conforme au cadre MITRE ATT&CK v12, traitant de la tactique d’Exécution avec Exécution par l’Utilisateur (T1204) comme technique correspondante. 

Les passionnés de cybersécurité cherchant à monétiser leurs compétences en recherche de menaces et en ingénierie de détection sont invités à rejoindre SOC Prime Programme Threat Bounty pour les défenseurs du cyberespace. Partagez vos propres règles Sigma, faites-les vérifier et publier sur la plateforme de SOC Prime, et recevez des paiements récurrents pour votre contribution.  

En raison de l’augmentation constante des attaques motivées financièrement, les organisations recherchent une source fiable de contenu de détection pour détecter de manière proactive les intrusions possibles. En cliquant sur le bouton Explorer les Détections ci-dessous, les défenseurs peuvent accéder immédiatement à la liste complète des règles Sigma aidant à identifier l’activité malveillante associée au groupe Conti. Tous les algorithmes de détection sont enrichis avec des CTI, des liens ATT&CK, des binaires exécutables et d’autres métadonnées pertinentes pour une enquête simplifiée sur les menaces.

Explorer les Détections

Analyse de la Porte Dérobée Domino Liée aux Groupes FIN7 & Ex-Conti

Un nouveau logiciel malveillant surnommé porte dérobée Domino et attribué au fameux collectif de hackers FIN7 a également été exploité par les ex-membres de la bande de ransomware Conti, ce qui indique une collaboration entre ces deux forces offensives liées à la Russie.

Le nouveau logiciel malveillant collecte des informations système de base, envoie des données au serveur C2 et livre d’autres charges utiles sur les systèmes compromis, dont des voleurs d’informations utilisés pour l’exfiltration de données. La porte dérobée a été au centre de l’attention dans le domaine des menaces cybernétiques depuis au moins le milieu de l’automne 2022. Le code de Domino, y compris la structure de configuration, les formats d’ID de bot et les capacités clés, a beaucoup en commun avec Lizar (alias Tirion ou malware DICELOADER ), qui a également été lié auparavant au collectif de hackers FIN7.

Selon les chercheurs de IBM Security X-Force, le malware Lizar a été remplacé plus tard par Domino, qui a occupé une position dominante dans les dernières cyberattaques. Depuis la fin de l’hiver 2023, les acteurs de la menace chargent la porte dérobée Domino en utilisant Dave Loader, attribué au groupe Trickbot, alias Conti, et à ses anciens affiliés. Dave Loader a été observé auparavant dans des campagnes malveillantes comme un moyen de charger d’autres échantillons de logiciels malveillants, tels que IcedID and Emotet, et a servi de vecteurs d’accès initiaux pour des opérations de ransomware par des ex-membres de Conti. De plus, le malware voleur d’informations Project Nemesis, considéré comme l’une des charges finales de Domino, est activement annoncé sur des forums de hackers depuis plus de deux ans.

La porte dérobée Domino est une DLL 64 bits développée en langage de programmation Visual C++. Une fois exécuté, le logiciel malveillant propage l’infection en créant un ID de Bot pour le système compromis en récupérant le nom d’utilisateur et le nom d’hôte et en générant un hash des données reçues, auquel la porte dérobée ajoute ensuite son ID de processus actuel. Par la suite, le logiciel malveillant déchiffre le bloc de configuration via XOR et crée une clé aléatoire de 32 octets, qui est chiffrée via la clé RSA. Après s’être connecté avec succès au serveur C2, la porte dérobée Domino tente de collecter les données système de base, de les crypter et de les envoyer au serveur distant. En conséquence, le malware s’attend à recevoir du C2 la charge utile déchiffrée, qu’il déchiffre ensuite, charge et exécute pour propager davantage l’infection.

Les volumes et la sophistication croissants des attaques motivées financièrement nécessitent une ultra-réactivité des défenseurs cybernétiques. Comptez sur SOC Prime pour être pleinement équipé avec du contenu de détection traitant les dernières menaces de malware. En savoir plus sur les nouvelles menaces et celles émergentes à https://socprime.com/ et atteignez celles adaptées au profil de menace de votre organisation avec un abonnement On Demand à https://my.socprime.com/pricing.