在過去的一個月里,IBM發現了一個被稱為 "Domino "的創新型惡意軟件家族,它是由ITG14,又稱FIN7,這個世界上臭名昭著的網絡犯罪團伙之一開發的。Domino中包含了一個不太知名的信息竊取器,該竊取器自2021年12月以來就一直在暗網上通過廣告出售,這非常有利于進一步利用被破壞的系統。

X-Force團隊的研究顯示,在5月,當conti團伙被解散時,該威脅攻擊者開始使用Domini。

據X-Force稱,新發現的木馬"Domino"自2023年2月以來就一直由Trickbot/Conti團伙ITG23使用。

根據IBM的一份研究報告,Domino的代碼與Lizar惡意軟件很相似,Lizar之前與FIN7集團有很強的聯系,IBM發現這些惡意軟件家族之間在功能、配置結構和用于處理敏感信息方面也有很多的相似之處。

據IBM研究人員稱,在2022年秋季,發現攻擊者使用了一種被稱為Dave Loader的惡意軟件加載器進行攻擊,該加載器之前被Conti勒索軟件和TrickBot成員使用。

在前Conti成員進行針對Royal和Play的勒索軟件行動的攻擊中,觀察到這種裝載器正在部署使用'206546002'簽名的Cobalt Strike信標。

ITG23的前成員可能是最近網絡攻擊的幕后黑手,據悉這些網絡攻擊是利用Dave Loader注入Domino后門而進行的。

ITG14,也被稱為FIN7,是一個多產的講俄語的網絡犯罪集團,以采用各種定制的惡意軟件來部署有效載荷來增加他們的獲利方式和擴大他們的分銷渠道而聞名。

其中有一個名為Domino Backdoor的64位DLL文件,它可以枚舉系統信息,如進程、用戶名和計算機的名稱和狀態,并將這些信息送回攻擊者的命令與控制服務器,在那里可以對這些信息進行分析。后門可以接收要執行的命令,執行結果還可以被傳回服務器。

有人觀察到,該后門還下載了一個額外的加載器,Domino Loader,并且還安裝了一個嵌入式信息竊取器,并自稱'復仇女神計劃'。此外,它還可以植入一個Cobalt Strike信標,以確保該軟件不被識別為后門。

威脅者在活動中還使用了一個名為 "Dave "的Conti加載器,該工具可以將FIN7的Domino后門放到設備上。該后門能夠收集有關系統的基本信息,并將其發送到一個命令和控制服務器(C2)上。

被入侵后,C2會向被入侵的系統返回一個用AES加密的有效載荷。在許多情況下,人們發現被加密的有效載荷是另一個加載器,該加載器與Domino使用的初始后門有若干代碼相似。在被攻擊的系統中,Cobalt Strike信息竊取器或Project Nemesis信息竊取器會被Domino裝載器安裝,然后完成整個攻擊鏈。

大多數的惡意攻擊者,特別是那些使用勒索軟件傳播惡意軟件和進入企業內部網絡的人,都會與其他威脅集團合作傳播惡意軟件。現在,惡意軟件開發者和勒索軟件團伙之間幾乎沒有什么區別,因為它們之間的界限多年來已經變得模糊不清了,很難區分它們。

TrickBot和BazarBackdoor之間的界限變得模糊可能只是時間問題,因為總部設在羅馬的Conti網絡犯罪集團控制了這兩個網站的開發,供其自己利用。

據微軟稱,一個名為DEV-0569的威脅行為者發布了2022年11月實施的入侵行為,其中還納入了BATLOADER惡意軟件,該軟件主要用于交付VIDAR和Cobalt Strike勒索軟件,后者則是在2022年12月發動了針對distributed Royal的勒索軟件攻擊。

隨著目前網絡世界變得越來越陰暗,很多事情開始變得有點模糊。隨著時間的推移,越來越難以區分惡意軟件開發者和勒索軟件團伙。

domino 軟件
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接