Rilevamento del Malware Domino: Ex Membri di Conti e MINACCIA FIN7 Collaborano per Diffondere una Nuova Backdoor

I ricercatori della cybersecurity hanno scoperto una nuova famiglia di malware chiamata Domino attribuita all’attività avversaria finanziariamente motivata sostenuta dalla Russia gruppo APT FIN7. I difensori informatici collegano anche l’uso di Domino con un altro ex gruppo di hacking noto come Trickbot aka Conti, che è stato applicato nella campagna malevola dagli attori minacciosi citati almeno da febbraio 2023 per diffondere il malware info-stealing Project Nemesis o backdoor ancora più avanzati come CobaltStrike.

Rilevamento degli attacchi Domino

Gli attori minacciosi finanziariamente motivati cooperano frequentemente con altri collettivi di hacking per aumentare i loro guadagni sfruttando canali di distribuzione di malware aggiuntivi. L’indagine più recente rivela la partnership tra i gruppi Conti e FIN7 per distribuire il backdoor Domino e procedere con l’infezione da Project Nemesis infostealer. Per rilevare l’attività malevola legata alle ultime operazioni di malware Domino, la piattaforma SOC Prime fornisce una regola Sigma curata dal nostro sviluppatore Threat Bounty appassionato Mise:

Possibile campagna del gruppo di minaccia FIN7 [Ex-Conti] con backdoor Domino rilevando file associati (via file_event)

Questa regola rileva file .dll e .exe sospetti associati con il nuovo backdoor Domino nella campagna FIN7. Il rilevamento è compatibile con 21 soluzioni SIEM, EDR, XDR e BDP e allineato con il framework MITRE ATT&CK v12, affrontando la tattica dell’esecuzione con User Execution (T1204) come tecnica corrispondente.

Gli appassionati di cybersecurity in cerca di un modo per monetizzare le loro competenze in threat hunting e ingegneria della rilevazione sono invitati a unirsi a SOC Prime Programma Threat Bounty per difensori informatici. Condividi le tue regole Sigma, falle verificare e pubblicare sulla piattaforma SOC Prime e ricevi pagamenti ricorrenti per il tuo contributo.

A causa dell’aumento costante degli attacchi finanziariamente motivati, le organizzazioni cercano una fonte affidabile di contenuti di rilevazione per rilevare proattivamente possibili intrusioni. Cliccando sul pulsante Esplora Rilevazioni sottostante, i difensori possono accedere immediatamente all’intero elenco di regole Sigma che aiutano a identificare l’attività malevola associata al gruppo Conti. Tutti gli algoritmi di rilevazione sono arricchiti con CTI, collegamenti ATT&CK, file eseguibili e altri metadati rilevanti per semplificare l’investigazione delle minacce.

Esplora Rilevazioni

Analisi del Backdoor Domino Collegato ai Gruppi FIN7 & Ex-Conti

Un nuovo malware soprannominato backdoor Domino e attribuito al famigerato collettivo di hacking FIN7 è stato anche sfruttato dagli ex membri della gang di ransomware Conti, che indica la collaborazione tra queste due forze offensive collegate alla Russia.

Il nuovo malware raccoglie informazioni di base sul sistema, invia dati al server C2 e consegna altri payload sui sistemi compromessi, inclusi gli infostealer utilizzati per l’esfiltrazione dei dati. La backdoor è stata al centro dell’attenzione nell’arena delle minacce informatiche almeno dalla metà dell’autunno 2022. Il codice di Domino, incluse la struttura di configurazione, i formati di ID bot e le capacità chiave, condivide molto con Lizar (aka Tirion o malware DICELOADER ), che in precedenza era anche collegato al collettivo di hacking FIN7.

Secondo i ricercatori di IBM Security X-Force, il malware Lizar è stato poi sostituito da Domino, che ha detenuto una posizione di rilievo negli ultimi attacchi informatici. Dalla fine dell’inverno 2023, gli attori minacciosi hanno caricato la backdoor Domino utilizzando Dave Loader, attribuito al gruppo Trickbot, alias Conti, e ai suoi ex affiliati. Dave Loader è stato osservato in precedenti campagne malevole come mezzo per caricare altri campioni di malware, come IcedID and Emotet, e serviva come vettore di accesso iniziale per le operazioni di ransomware da parte degli ex membri di Conti. Inoltre, il malware info-stealing Project Nemesis, considerato uno degli ultimi payload di Domino, è stato attivamente pubblicizzato sui forum di hacking per oltre due anni.

Il backdoor Domino è una DLL a 64 bit sviluppata nel linguaggio di programmazione Visual C++. Una volta eseguito, il malware diffonde l’infezione creando un ID Bot per il sistema compromesso recuperando il nome utente e il nome host e generando un hash dei dati ricevuti, ai quali la backdoor aggiunge ulteriormente il suo attuale ID processo. Successivamente, il malware decritta il blocco di configurazione tramite XOR e crea una chiave casuale di 32 byte, che è crittografata tramite la chiave RSA. Al momento della connessione riuscita al server C2, la backdoor Domino tenta ulteriormente di raccogliere i dati di base del sistema, crittografarli e inviarli al server remoto. Di conseguenza, il malware si aspetta di ricevere dal C2 il payload decrittato, che decritta ulteriormente, carica ed esegue per diffondere ulteriormente l’infezione.

I crescenti volumi e la sofisticatezza degli attacchi finanziariamente motivati richiedono un’ultra-reattività dai difensori informatici. Affidati a SOC Prime per essere completamente equipaggiato con contenuti di rilevazione che affrontano le ultime minacce malware. Scopri di più sulle nuove ed emergenti minacce su https://socprime.com/ e raggiungi quelle adattate al profilo di minaccia della tua organizzazione con l’abbonamento su richiesta a https://my.socprime.com/pricing.