Dominoマルウェアの検出：元ContiとFIN7の脅威アクターが新しいバックドアを拡散するために協力

サイバーセキュリティ研究者たちは、新しいマルウェアファミリー「Domino」を、ロシアが支援する財政的動機を持つ敵対活動の一環として特定しました。 FIN7 APTグループです。サイバー防衛者はまた、Dominoの使用が、以前のハッキンググループであるTrickbotまたは Contiと関連していることも指摘しています。これらの脅威アクターは、少なくとも2023年2月以降、「Project Nemesis」という情報窃取マルウェアや、さらに高度なバックドアである CobaltStrike.

を広めるために悪意のあるキャンペーンで利用してきました。

財政的動機を持つ脅威アクターは、他のハッキング集団と協力して、追加のマルウェア配布チャネルを利用することで利益を増やします。最新の調査では、ContiとFIN7グループがDominoバックドアを提供し続け、Project Nemesis情報窃取感染を実行するために協力していることが明らかになっています。最新のDominoマルウェアのオペレーションに結びつけられた悪意のある活動を検出するために、SOC Primeプラットフォームは、鋭敏なThreat Bounty開発者のMiseが提供するキュレーションされたSigmaルールを提供しています。 Mise:

DominoバックドアによるFIN7脅威グループ[元Conti]キャンペーンの関連ファイル（via file_event）を検出することで可能です。

このルールは、FIN7キャンペーンで新たに検出されたDominoバックドアに関連する疑わしい.dllおよび.exeファイルを検出します。この検出は21のSIEM、EDR、XDR、BDPソリューションに対応し、 MITRE ATT&CKフレームワーク v12と一致しており、対応する技術としてユーザー実行（T1204）を扱っています。

サイバーセキュリティ愛好者が脅威ハンティングと検出エンジニアリングのスキルを収益化する方法を求めているなら、SOC Prime Threat Bounty Program サイバー防衛に参加することをお勧めします。 あなた自身のSigmaルールを共有し、検証およびSOC Primeのプラットフォームで公開され、その貢献に対して繰り返し報酬を受け取ります。, get them verified and published to SOC Prime’s Platform, and receive recurring payouts for your contribution.  

財政的動機を持つ攻撃が急増しているため、組織は可能性のある侵入を積極的に検出するための信頼できる検出コンテンツを求めています。以下の「検出を探索」ボタンをクリックすると、防衛者はすぐにContiグループに関連する悪意のある活動を識別するのに役立つすべてのSigmaルールにアクセスできます。すべての検出アルゴリズムには、CTI、ATT&CKリンク、実行可能バイナリ、簡潔な脅威調査のためのメタデータが含まれています。

検出を探索

FIN7および元ContiグループにリンクされたDominoバックドアの分析

新しいマルウェアであるとされるDominoバックドアは、悪名高い FIN7 ハッキング集団によって活用され、 Contiランサムウェアギャングの元メンバーによっても使用されています。これらのロシアリンクのある攻撃勢力の間の協力を示しています。

この新しいマルウェアは基本的なシステム情報を収集し、C2サーバーにデータを送り、侵入したシステムへ他のペイロード（データ流出のために使用される情報窃取ツールを含む）を配信します。このバックドアは、少なくとも2022年の秋以来、サイバー脅威の舞台で注目されています。Dominoのコードには、Lizar（別名Tirionまたは DICELOADER マルウェア）と共通の要素（構成構造、ボットID形式、主要機能）が多くあり、これはFIN7ハッキング集団とも以前に関連付けられていました。

IBM Security X-Forceの研究者によると 、Lizarマルウェアは後にDominoに置き換えられ、最新のサイバー攻撃で主要な役割を果たしました。2023年の冬遅くから、脅威アクターはTrickbotまたはContiグループとその元メンバーに帰属するDave Loaderを使用してDominoバックドアを読み込んでいます。Dave Loaderは、以前に他のマルウェアサンプル（例：, Lizar malware was later replaced by Domino, which held a leading position in the latest cyber attacks. Since late winter 2023, threat actors have been loading the Domino backdoor using Dave Loader, attributed to the Trickbot, aka Conti group, and its former affiliates. Dave Loader was observed earlier in malicious campaigns as a means to load other malware samples, like IcedID and Emotet、 ）を読み込む手段として悪意のあるキャンペーンで観察され、元Contiメンバーによるランサムウェアオペレーションの初期アクセスベクトルとして利用されました。加えて、Dominoの最終ペイロードの1つとされる「Project Nemesis」情報窃取マルウェアは、2年以上にわたりハッキングフォーラムで積極的に広告されています。

Dominoバックドアは、Visual C++プログラミング言語で開発された64ビットDLLです。一度実行されると、マルウェアは、ユーザー名とホスト名を取得して受信データのハッシュを生成することで、感染システムのボットIDを作成し、感染を広げます。その後、マルウェアはXORを介して設定ブロックを復号し、ランダムな32バイトキーを作成し、RSAキーを介して暗号化します。C2サーバーへの接続が成功すると、Dominoバックドアはさらに基本的なシステムデータを収集し、暗号化してリモートサーバーに送信します。この結果、マルウェアはC2から復号されたペイロードを受け取ることを期待し、さらにそれを復号し、ロードして、感染を広げるために実行します。

財政的動機を持つ攻撃の増加と洗練度は、サイバー防衛者に超迅速な対応を要求します。SOC Primeに依頼して、最新のマルウェア脅威に対処するための検出コンテンツを完全に装備しましょう。新たな脅威や新興脅威については、 https://socprime.com/ で詳しく学び、On Demandサブスクリプションで組織の脅威プロファイルに合わせて調整されたものにアクセスします。 https://my.socprime.com/pricing.