Detecção de Malware Domino: Atores de Ameaças Ex-Conti e FIN7 Colaboram para Espalhar uma Nova Backdoor
Índice:
Pesquisadores de cibersegurança descobriram uma nova família de malware chamada Domino atribuída à atividade adversária do financeiramente motivado apoiado pela Rússia grupo APT FIN7. Defensores cibernéticos também vinculam o uso do Domino a outro grupo de hackers anterior conhecido como Trickbot também conhecido como Conti, que tem sido aplicada na campanha maliciosa pelos atores de ameaça desde pelo menos fevereiro de 2023 para espalhar o malware de roubo de informações Project Nemesis ou backdoors ainda mais avançados como CobaltStrike.
Detectando Ataques Domino
Atores de ameaça motivados financeiramente frequentemente cooperam com outros coletivos de hackers para aumentar seus ganhos aproveitando canais adicionais de distribuição de malware. A investigação mais recente revela a parceria entre os grupos Conti e FIN7 para fornecer o backdoor Domino e continuar com a infecção do infostealer Project Nemesis. Para detectar a atividade maliciosa ligada às últimas operações de malware Domino, a Plataforma SOC Prime fornece uma regra Sigma curada pelo nosso brilhante desenvolvedor de Threat Bounty Mise:
Esta regra detecta arquivos .dll e .exe suspeitos associados ao novo Backdoor Domino na campanha FIN7. A detecção é compatível com 21 soluções SIEM, EDR, XDR e BDP e está alinhada com o framework MITRE ATT&CK v12, abordando a tática de Execução com Execução de Usuário (T1204) como a técnica correspondente.
Entusiastas de cibersegurança buscando uma forma de monetizar suas habilidades de caça a ameaças e engenharia de detecção são bem-vindos para se juntarem ao SOC Prime Programa de Threat Bounty para defensores cibernéticos. Compartilhe suas próprias regras Sigma, faça com que sejam verificadas e publicadas na Plataforma do SOC Prime, e receba pagamentos recorrentes por sua contribuição.
Devido ao aumento constante da quantidade de ataques motivados financeiramente, as organizações estão buscando uma fonte confiável de conteúdo de detecção para detectar proativamente possíveis intrusões. Ao clicar no botão Explorar Detecções abaixo, os defensores podem acessar imediatamente a lista completa de regras Sigma ajudando a identificar a atividade maliciosa associada ao grupo Conti. Todos os algoritmos de detecção são enriquecidos com CTI, links ATT&CK, binários executáveis e metadados mais relevantes para uma investigação de ameaças simplificada.
Análise do Backdoor Domino Relacionado aos Grupos FIN7 & Ex-Conti
Um novo malware chamado backdoor Domino e atribuído ao notório coletivo de hackers FIN7 também foi utilizado pelos ex-membros do grupo de ransomware Conti, o que aponta para a colaboração entre essas duas forças ofensivas ligadas à Rússia.
O novo malware coleta informações básicas do sistema, envia dados para o servidor C2 e entrega outras cargas nos sistemas comprometidos, incluindo infostealers usados para exfiltração de dados. O backdoor tem estado em destaque na arena de ameaças cibernéticas desde pelo menos meados do outono de 2022. O código do Domino, incluindo a estrutura de configuração, formatos de ID de bot, e principais capacidades, tem muito em comum com Lizar (também conhecido como Tirion ou malware DICELOADER ), que também foi anteriormente ligado ao coletivo de hackers FIN7.
De acordo com os pesquisadores de IBM Security X-Force, o malware Lizar foi posteriormente substituído pelo Domino, que ocupou uma posição de liderança nos últimos ataques cibernéticos. Desde o final do inverno de 2023, os atores de ameaça têm carregado o backdoor Domino usando Dave Loader, atribuído ao Trickbot, também conhecido como grupo Conti, e seus antigos afiliados. Dave Loader foi observado anteriormente em campanhas maliciosas como um meio de carregar outras amostras de malware, como IcedID and Emotet, e serviu como vetores de acesso inicial para operações de ransomware pelos ex-membros do Conti. Além disso, o malware de roubo de informações Project Nemesis, que é considerado uma das cargas finais do Domino, tem sido ativamente divulgado em fóruns de hackers há mais de dois anos.
O backdoor Domino é um DLL de 64 bits desenvolvido na linguagem de programação Visual C++. Uma vez executado, o malware se espalha pelo sistema criando um ID de Bot para o sistema comprometido ao recuperar o nome de usuário e nome do host e gerar um hash dos dados recebidos, ao qual o backdoor depois adiciona seu ID de processo atual. Posteriormente, o malware descriptografa o bloco de configuração via XOR e cria uma chave aleatória de 32 bytes, que é criptografada via chave RSA. Após conectar-se com sucesso ao servidor C2, o backdoor Domino tenta ainda coletar os dados básicos do sistema, criptografá-los e enviá-los para o servidor remoto. Como resultado, o malware espera receber do C2 a carga decriptografada, que depois descriptografa, carrega e executa para espalhar ainda mais a infecção.
O aumento do volume e da sofisticação dos ataques motivados financeiramente requer uma ultra-responsividade dos defensores cibernéticos. Confie na SOC Prime para estar totalmente equipado com conteúdo de detecção que aborda as últimas ameaças de malware. Saiba mais sobre novas e emergentes ameaças em https://socprime.com/ e alcance aquelas adaptadas ao perfil de ameaça da sua organização com a assinatura On Demand em https://my.socprime.com/pricing.
