도미노 멀웨어 탐지: Ex-Conti 및 FIN7 위협 행위자들이 새로운 백도어를 확산시키기 위해 협력

사이버 보안 연구원들은 Domino라고 불리는 새로운 멀웨어 패밀리를 발견했으며, 이는 금전적 동기를 가진 러시아 지원 FIN7 APT 그룹의 적대적 활동에 기인한 것입니다. Conti, 이는 후자 위협 행위자들이 2023년 2월 이후로 Project Nemesis 정보 탈취 멀웨어 또는 더 발전된 백도어인 CobaltStrike.

Domino 공격 탐지

금전적 동기를 가진 위협 행위자들은 추가적인 멀웨어 배포 채널을 활용하여 이익을 증가시키기 위해 다른 해킹 집단들과 자주 협력합니다. 최신 조사는 Domino 백도어를 전달하고 Project Nemesis 정보탈취 프로그램 감염을 진행하기 위해 Conti와 FIN7 그룹 간의 협력을 밝혀냈습니다. 최신 Domino 멀웨어 운영과 관련된 악의적인 활동을 탐지하기 위해, SOC 프라임 플랫폼은 저희의 능숙한 Threat Bounty 개발자 미세:

를 통해 고안된 큐레이션된 Sigma 규칙을 제공합니다. Domino 백도어와 관련된 파일을 탐지하여 FIN7 위협 그룹 [Ex-Conti] 캠페인을 발견하다 (via file_event)

이 규칙은 FIN7 캠페인에서 새로 감지된 Domino 백도어와 관련된 의심스러운 .dll 및 .exe 파일을 탐지합니다. 탐지는 21개의 SIEM, EDR, XDR 및 BDP 솔루션과 호환되며 MITRE ATT&CK 프레임워크 v12와 일치하며, User Execution (T1204) 기술과 관련된 실행 전술을 다룹니다.

위협 사냥 및 탐지 엔지니어링 기술을 현금화할 방법을 찾고 있는 사이버 보안 애호가들은 SOC 프라임 Threat Bounty 프로그램 에 참여할 수 있습니다. 자신의 Sigma 규칙을 공유하고, SOC 프라임의 플랫폼에 검증 및 게시되며, 기여에 따른 정기적인 보상을 받으세요., get them verified and published to SOC Prime’s Platform, and receive recurring payouts for your contribution.  

금전적 동기를 가진 공격이 계속 증가함에 따라, 조직들은 가능한 침입을 탐지하기 위해 신뢰할 수 있는 탐지 내용을 찾고 있습니다. 아래의 탐지 탐색 버튼을 클릭하면, 방어자는 Conti 그룹과 관련된 악의적인 활동을 식별하는 데 도움이 되는 Sigma 규칙의 전체 목록에 즉시 접근할 수 있습니다. 모든 탐지 알고리즘은 CTI, ATT&CK 링크, 실행 가능한 바이너리 및 위협 조사를 단순화하기 위한 관련 메타데이터로 강화되었습니다.

탐지 탐색

FIN7 및 Ex-Conti 그룹과 연결된 Domino 백도어 분석

Domino 백도어로 명명된 새로운 멀웨어는 악명 높은 FIN7 해킹 집단에 의해 사용되었으며, 전 Conti 랜섬웨어 조직의 멤버들에 의해 사용되었고, 이는 이 두 러시아 관련 공격 세력 간의 협력을 시사합니다.

이 새로운 멀웨어는 기본 시스템 정보를 수집하고, 데이터를 C2 서버로 전송하며, 정보 탈취를 위해 사용되는 정보 탈취기를 포함하여 감염된 시스템에 다른 페이로드를 전송합니다. 이 백도어는 최소한 2022년 가을 중반부터 사이버 위협 분야에서 주목을 받았습니다. Domino의 코드, 구성 구조, 봇 ID 형식 및 주요 기능은 FIN7 해킹 집단과도 이전에 연결되었던 Lizar(aka Tirion 또는 DICELOADER 멀웨어)와 많은 공통점을 가집니다.

에 따르면 IBM Security X-Force 연구원, Lizar 멀웨어는 나중에 Domino로 대체되었으며, 이는 최근 사이버 공격에서 선도적인 위치를 차지하고 있습니다. 2023년 말 겨울 이후로 위협 행위자들은 Domino 백도어를 Trickbot, aka Conti 그룹 및 전 소속 멤버로 기인한 Dave Loader를 사용하여 로딩하고 있습니다. Dave Loader는 이전에 악의적인 캠페인에서 같은 방식을 사용하여 다른 멀웨어 샘플을 로드하며 전 Conti 멤버들의 랜섬웨어 작전을 위한 초기 접근 벡터로 사용되었습니다. 또한 Domino의 최종 페이로드 중 하나로 간주되는 Project Nemesis 정보 탈취 멀웨어는 2년 이상 해킹 포럼에서 활발히 광고되었습니다. IcedID and Emotet, and served as initial access vectors for ransomware operations by ex-Conti members. In addition, the Project Nemesis info-stealing malware, which is considered one Domino’s final payloads, has been actively advertised on hacking forums for over two years. 

Domino 백도어는 Visual C++ 프로그래밍 언어로 개발된 64비트 DLL입니다. 실행되면, 이 멀웨어는 사용자 이름과 호스트명을 검색하고 수신된 데이터의 해시를 생성하여 감염 시스템에 대한 봇 ID를 만들어 감염을 확산시킵니다. 이 백도어는 이후 현재 프로세스 ID를 추가합니다. 그런 다음 멀웨어는 XOR을 통해 구성 블록을 암호 해독하고, 랜덤한 32바이트 키를 생성하고 이를 RSA 키를 통해 암호화합니다. C2 서버에 성공적으로 연결된 후, Domino 백도어는 기본 시스템 데이터를 수집하여 암호화하고 이를 원격 서버로 전송하려 시도합니다. 그 결과, 멀웨어는 C2로부터 암호 해독된 페이로드를 수신하기를 기대하며, 이를 추가로 암호 해독하고 로드하여 감염을 확산시킵니다.

금전적 동기가 있는 공격의 볼륨과 복잡성이 증가함에 따라 사이버 수호자들의 초민첩성이 필요합니다. SOC 프라임에 전적으로 의존하여 최신 멀웨어 위협에 대응하는 탐지 콘텐츠를 갖추십시오. https://socprime.com/에서 새로운 위협 및 신흥 위협에 대해 더 알아보고 On Demand 구독을 통해 조직의 위협 프로파일에 맞도록 조정된 콘텐츠에 접속하십시오. https://socprime.com/ 그리고 On Demand 구독을 통해 조직의 위협 프로파일에 맞춘 콘텐츠에 접근합니다 https://my.socprime.com/pricing.