Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/ex-conti-members-and-fin7-devs-team-up-to-push-new-domino-malware/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #exmembros #da #conti #e #desenvolvedores #do #fin7 #se #unem #para #promover #o #novo #malware #domino
Os ex-membros do ransomware Conti se uniram aos agentes de ameaças FIN7 para distribuir uma nova família de malware chamada 'Domino' em ataques a redes corporativas.
Domino é uma família de malware relativamente nova que consiste em dois componentes, um backdoor chamado 'Domino Backdoor', que por sua vez instala um 'Domino Loader' que injeta uma DLL de malware para roubo de informações na memória de outro processo.
Os pesquisadores de inteligência de segurança da IBM têm rastreado ex-membros do Conti e do TrickBot utilizando o novo malware em ataques desde fevereiro de 2023.
No entanto, um novo relatório da IBM divulgado na sexta-feira vincula o desenvolvimento real do malware Domino ao grupo de hackers FIN7 - um grupo de cibercriminosos vinculado a uma variedade de malwares e às operações de ransomware BlackBasta e DarkSide.
Os ataques de malware Domino
Desde o outono de 2022, os pesquisadores da IBM têm rastreado ataques usando um carregador de malware chamado 'Dave Loader' que está vinculado ao antigo ransomware Conti e membros do TrickBot.
Este carregador foi visto implantando beacons Cobalt Strike que utilizam uma marca d'água '206546002', observada em ataques de ex-membros do Conti nas operações de ransomware Royal e Play.
A IBM diz que Dave Loader também foi visto implantando o Emotet, que foi usado quase exclusivamente pela operação de ransomware Conti em junho de 2022 e, posteriormente, pelas gangues de ransomware BlackBasta e Quantum.
No entanto, mais recentemente, a IBM diz ter visto Dave Loader instalando a nova família de malware Domino.
Mais comumente, Dave Loader descartaria o 'Domino Backdoor', que então instalaria o 'Domino Loader'.
O Domino Backdoor é uma DLL de 64 bits que enumera informações do sistema, como processos em execução, nomes de usuário, nomes de computador, e as envia de volta ao servidor de comando e controle do invasor. O backdoor também recebe comandos para executar ou outros payloads para instalar.
O backdoor foi visto baixando um carregador adicional, o Domino Loader, que instala um ladrão de informações .NET embutido chamado 'Projeto Nemesis'. Ele também pode plantar um farol Cobalt Strike, para maior persistência.
"O Domino Backdoor foi projetado para entrar em contato com um endereço C2 diferente para sistemas ingressados no domínio, sugerindo que um backdoor mais capaz, como o Cobalt Strike, será baixado em alvos de maior valor em vez do Projeto Nemesis", explicam os pesquisadores da IBM Charlotte Hammond e Ole Villadsen.
Fluxo de ataque de malware DominoFonte: IBM
O Project Nemesis é um malware padrão de roubo de informações que pode coletar credenciais armazenadas em navegadores e aplicativos, carteiras de criptomoedas e histórico do navegador.
Ex-membros do Conti se unem ao FIN7
Atores de ameaças, especialmente aqueles que utilizam ransomware, geralmente fazem parceria com outros grupos de ameaças para distribuir malware e para acesso inicial a redes corporativas.
Por exemplo, TrickBot, Emotet, BazarBackdoor e QBot (QakBot) têm um longo histórico de fornecimento de acesso inicial a operações de ransomware, como REvil, Maze, Egregor, BlackBasta, Ryuk e Conti.
Com o tempo, as linhas entre os desenvolvedores de malware e as gangues de ransomware ficaram obscuras, dificultando a distinção entre as duas operações.
Com a formação do sindicato do cibercrime Conti, essas linhas desapareceram ainda mais quando a operação de ransomware assumiu o controle do desenvolvimento do TrickBot e do BazarBackdoor para suas próprias operações.
Além disso, após o encerramento do Conti, a operação de ransomware se dividiu em células menores, com membros se movendo por todo o espaço do ransomware, incluindo Royal, Play, Quantum/Zeon/Dagon, BlackBasta, LockBit e muito mais.
A IBM atribuiu a família de malware Domino ao FIN7 devido a uma grande sobreposição de código com Lizar (também conhecido como Tirion e DiceLoader), um kit de ferramentas pós-exploração associado ao FIN7.
Além disso, a IBM descobriu que um carregador chamado 'NewWorldOrder', normalmente usado nos ataques Carbanak do FIN7, foi usado recentemente para enviar o malware Domino.
NewWorldOrder carregando DominoSource: IBM
Então, em uma joint venture confusa, temos Dave Loader (TrickBot/Conti) empurrando o malware Domino (FIN7), que por sua vez implanta sinalizadores Project Nemesis ou Cobalt Strike que se acredita estarem associados à atividade de ransomware de ex-membros do Conti.
Isso significa que os defensores precisam lidar com uma rede confusa de agentes de ameaças, todos com malware que permite acesso remoto às redes.
Postar um comentário