Los miembros de la ahora desaparecida pandilla de ransomware Conti han puesto en práctica una nueva variedad de malware desarrollada por actores de amenazas probablemente afiliados al grupo de ciberdelincuencia FIN7, lo que indica la colaboración entre los dos equipos.
El malware, denominado dominóestá diseñado principalmente para facilitar la explotación de seguimiento en sistemas comprometidos, incluida la entrega de un ladrón de información menos conocido que se ha anunciado para la venta en la web oscura desde diciembre de 2021.
«Ex miembros del sindicato TrickBot/Conti […] han estado usando Domino desde al menos finales de febrero de 2023 para entregar el Proyecto Némesis ladrón de información o puertas traseras más capaces como Cobalt Strike», Charlotte Hammond, investigadora de seguridad de IBM Security X-Force dicho en un informe publicado la semana pasada.
FIN7, también llamado Carbanak e ITG14, es un sindicato cibernético prolífico de habla rusa que se sabe que emplea una variedad de malware personalizado para implementar cargas útiles adicionales y ampliar sus métodos de monetización.
Los análisis recientes de Mandiant, SentinelOne y PRODAFT, propiedad de Google, han revelado el papel del grupo como precursor de Maze y Ransomware Ryuk ataques, sin mencionar la exposición de sus conexiones con las familias Black Basta, DarkSide, REvil y LockBit.
La última ola de intrusiones, detectada por IBM Security X-Force hace dos meses, implica el uso de dave cargadorun encriptador previamente atribuido al grupo Conti (también conocido como Gold Blackburn, ITG23 o Wizard Spider), para implementar la puerta trasera de Domino.
Las conexiones potenciales de Domino con FIN7 provienen de la superposición del código fuente con DICELOADER (también conocido como Lizar o Tirion), una familia de malware probada en el tiempo atribuida al grupo. El malware, por su parte, está diseñado para recopilar información confidencial básica y recuperar cargas útiles cifradas desde un servidor remoto.
Este artefacto de la siguiente etapa es un segundo cargador con nombre en código Domino Loader, que alberga un ladrón de información .NET encriptado denominado Project Nemesis que es capaz de acumular datos confidenciales del portapapeles, Discord, navegadores web, billeteras criptográficas, servicios VPN y otras aplicaciones.
«Domino ha estado activo en la naturaleza desde al menos octubre de 2022, que es notablemente cuando las observaciones de Lizar comenzaron a disminuir», señaló Hammond, indicando que los actores de amenazas pueden estar eliminando este último a favor del nuevo malware.
Otro vínculo crucial que une a Domino con FIN7 proviene de una campaña de diciembre de 2022 que aprovechó otro cargador llamado NewWorldOrder Loader para entregar las puertas traseras de Domino y Carbanak.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
Se dice que la puerta trasera y el cargador de Domino, ambos DLL de 64 bits escritos en Visual C++, se han utilizado para instalar Project Nemesis desde al menos octubre de 2022, antes de que los ex miembros de Conti lo usaran a principios de este año.
«Esto nos lleva a evaluar que los miembros de ITG14 responsables del desarrollo de Domino probablemente tenían una relación con Project Nemesis y ofrecieron Domino y el ladrón de información a los ex actores de amenazas de Conti como un paquete», dijo Hammond. «Los ex miembros de Conti, a su vez, probablemente usaron el ladrón de información del Proyecto Némesis contra objetivos de menor valor».
El uso de malware ladrón por parte de los distribuidores de ransomware no tiene precedentes. En noviembre de 2022, Microsoft reveló intrusiones montadas por un actor de amenazas conocido como DEV-0569 que aprovechó software malicioso BATLOADER para entregar Vidar y Cobalt Strike, el último de los cuales finalmente facilitó los ataques de ransomware operados por humanos que distribuyeron Royal ransomware.
Esto ha planteado la posibilidad de que los ladrones de información se implementen durante infecciones de menor prioridad (por ejemplo, computadoras personales), mientras que aquellos que pertenecen a un dominio de Active Directory reciben Cobalt Strike.
«El uso de malware con vínculos con varios grupos en una sola campaña, como Dave Loader, Domino Backdoor y Project Nemesis infostealer, destaca la complejidad que implica el seguimiento de los actores de amenazas, pero también proporciona información sobre cómo y con quién operan», Hammond. concluyó.