FIN7, exmiembros de la pandilla Conti colaboran en el malware 'Domino'

Los antiguos miembros del grupo de ransomware Conti están comprometiendo los sistemas para hacer un seguimiento de los exploits utilizando malware que desarrolló el grupo FIN7 con motivación financiera; FIN7 ha utilizado la herramienta “Domino” en sus propios ataques al menos desde el pasado mes de octubre.

La campaña es el ejemplo más reciente que muestra cómo diferentes grupos de amenazas con distintos motivos y técnicas a menudo trabajan juntos para lograr sus objetivos separados y ampliar sus operaciones individuales en la economía del ciberdelito.

Un efecto dominó

IBM Security X-Force observó recientemente a los actores de amenazas que solían ser parte del grupo Conti que usaban el malware Domino de FIN7 para colocar el kit de herramientas posterior a la explotación de Cobalt Strike en computadoras unidas al dominio, o un ladrón de información llamado "Proyecto Nemesis" en sistemas individuales. .

Los investigadores de X-Force determinaron que los Conti amenazan a los actores (la pandilla se disolvió en mayo pasado) comenzó a usar Domino en febrero, aproximadamente cuatro meses después de que FIN7 comenzara a usar el malware por primera vez en octubre pasado.

En la campaña, los actores de la amenaza utilizaron un cargador Conti llamado "Dave" para eliminar la puerta trasera de Domino de FIN7. La puerta trasera recopiló información básica sobre el sistema host y la envió a un servidor externo de comando y control (C2). El C2, a su vez, devolvió una carga útil cifrada con AES al sistema comprometido. La carga útil cifrada en muchos casos era otro cargador con múltiples similitudes de código con la puerta trasera inicial de Domino. La cadena de ataque se completó cuando el cargador de Domino instaló Cobalt Strike o el ladrón de información Project Nemesis en el sistema comprometido.

“La puerta trasera de Domino está diseñada para contactar una dirección C2 diferente para los sistemas unidos a un dominio, lo que sugiere que una puerta trasera más capaz, como Cobalt Strike, se descargará en objetivos de mayor valor en lugar de Project Nemesis”, escribió la ingeniera inversa de malware de IBM Security, Charlotte Hammond. en un análisis sobre la campaña.

Los investigadores de IBM X-Force identificaron por primera vez a Domino como malware FIN7 el año pasado después de observar varias similitudes de código entre él y Lizar (también conocido como DiceLoader o Tirion), una familia de malware que ya habían atribuido previamente a FIN7. Tanto Domino como DiceLoader tienen estilos de codificación y funcionalidad similares, una estructura de configuración similar y usan los mismos formatos para la identificación de bots. Los investigadores de X-Force también encontraron evidencia que vincula a Domino con el troyano bancario Carbanak, que los investigadores también han asociado previamente con FIN7.

Naturaleza intrincada de la cooperación

El uso del malware por parte de exmiembros del grupo Conti “destaca la naturaleza intrincada de la cooperación entre los grupos ciberdelincuentes y sus miembros”, dijo Hammond. Los analistas de seguridad han notado cómo tales colaboraciones pueden representar una amenaza significativa para las organizaciones y las personas porque a menudo permiten ataques más sofisticados y exitosos que los que serían posibles como entidades separadas.

Para FIN7, la nueva campaña continúa los esfuerzos del grupo de amenazas para ampliar su presencia. FIN7 apareció en 2012 y comenzó a robar y vender datos de tarjetas de pago, una actividad que le valió cientos de millones de dólares. A lo largo de los años el grupo expandido en el ecosistema ransomware, y también ganó dinero al permitir ataques de ransomware y distribución de malware para otros grupos de amenazas. Después de centrarse principalmente en las organizaciones del sector minorista y hotelero, el actor de amenazas ha ampliado su lista de objetivos a organizaciones en muchos otros sectores, incluidos defensa, transporte, servidores de TI, servicios financieros y servicios públicos.

Los investigadores de seguridad estiman que el actor de amenazas ha robado más de $ 1.2 mil millones de las víctimas desde que apareció por primera vez.

Los investigadores de Mandiant el año pasado pudieron vincule a Fin7 con docenas de grupos de actividad de amenazas previamente no atribuidos basado en similitudes en tácticas, técnicas y procedimientos (TTP) entre ellos. Entre ellos hubo al menos una docena de intrusiones en las ubicaciones de los clientes de Mandiant solo desde 2020. Las autoridades policiales de EE. UU. han intentado interrumpir las actividades de FIN7 varias veces e incluso lograron enviar un administrador de grupo de alto nivel en prisión en 2018. Hasta ahora, sin embargo, los intentos de detener al grupo han fallado.

Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
Acuñando el futuro con Adryenn Ashley. Accede Aquí.
Fuente: https://www.darkreading.com/attacks-breaches/fin7-former-conti-gang-members-collaborate-domino-malware

Inteligencia de datos generativa

FIN7, exmiembros de la pandilla Conti colaboran en el malware 'Domino'

Un efecto dominó

Naturaleza intrincada de la cooperación

XCAD Network potencia la economía de los creadores con el lanzamiento de $DON con la estrella de YouTube TheDonato en Gate.io y MEXC

La realización de acuerdos que involucran a empresas emergentes respaldadas por capital de riesgo aumenta ligeramente, pero sigue siendo lenta

Información más reciente

Los antiguos unicornios se están recuperando de la quiebra

Los antiguos unicornios se están recuperando de la quiebra

Cómo superíndice en PowerPoint: mejorando sus presentaciones

Cómo superíndice en PowerPoint: mejorando sus presentaciones

El Banco de Tailandia trabaja para tejer pagos P2P globales

Desbloqueo de ganancias: cómo elegir el proveedor de apuestas de Ethereum más rentable