0
0
Ex-membros do grupo de ransomware Conti estão comprometendo sistemas para explorações de acompanhamento usando malware que o grupo FIN7 financeiramente motivado desenvolveu; A FIN7 tem usado a ferramenta “Domino” em seus próprios ataques desde pelo menos outubro passado.
A campanha é o exemplo mais recente para mostrar como diferentes grupos de ameaças com motivos e técnicas distintas muitas vezes trabalham juntos para alcançar seus objetivos separados e ampliar suas operações individuais na economia do cibercrime.
Um efeito dominó
O IBM Security X-Force observou recentemente agentes de ameaças que costumavam fazer parte do grupo Conti usando o malware Domino do FIN7 para soltar o kit de ferramentas pós-exploração Cobalt Strike em computadores ingressados no domínio ou um ladrão de informações chamado “Project Nemesis” em sistemas individuais.
Os pesquisadores da X-Force determinaram que os agentes de ameaças Conti (a gangue se dissolveu em maio passado) começaram a usar o Domino em fevereiro, cerca de quatro meses depois que o FIN7 começou a usar o malware em outubro passado.
Na campanha, os agentes de ameaças usaram um carregador Conti chamado “Dave” para derrubar o backdoor Domino da FIN7. O backdoor coletou informações básicas sobre o sistema host e as enviou para um servidor de comando e controle externo (C2). O C2, por sua vez, retornou uma carga criptografada AES para o sistema comprometido. A carga criptografada em muitos casos era outro carregador com várias semelhanças de código com o backdoor inicial do Domino. A cadeia de ataque foi concluída quando o carregador Domino instalou o Cobalt Strike ou o infostealer Project Nemesis no sistema comprometido.
“O backdoor do Domino foi projetado para entrar em contato com um endereço C2 diferente para sistemas unidos a domínios, sugerindo que um backdoor mais capaz, como o Cobalt Strike, será baixado em alvos de maior valor em vez do Project Nemesis”, escreveu a engenheiro reversa de malware da IBM Security, Charlotte Hammond, em uma análise sobre a campanha.
Os pesquisadores da IBM X-Force identificaram pela primeira vez o Domino como malware FIN7 no ano passado, depois de observar várias semelhanças de código entre ele e o Lizar (também conhecido como DiceLoader ou Tirion), uma família de malware que eles já haviam atribuído anteriormente ao FIN7. Tanto o Domino quanto o DiceLoader têm estilos e funcionalidades de codificação semelhantes, uma estrutura de configuração semelhante e usam os mesmos formatos para identificação de bots. Os pesquisadores da X-Force também encontraram evidências ligando o Domino ao Trojan bancário Carbanak, que os pesquisadores também associaram anteriormente ao FIN7.
Natureza intrincada da cooperação
O uso do malware por ex-membros do grupo Conti “destaca a natureza intrincada da cooperação entre grupos de cibercriminosos e seus membros”, disse Hammond. Analistas de segurança observaram como essas colaborações podem representar uma ameaça significativa para organizações e indivíduos, porque muitas vezes permitem ataques mais sofisticados e bem-sucedidos do que seria possível como entidades separadas.
Para a FIN7, a nova campanha continua os esforços do grupo de ameaças para ampliar sua pegada. A FIN7 surgiu em 2012 e cortou os dentes roubando e vendendo dados de cartões de pagamento – uma atividade que lhe rendeu centenas de milhões de dólares. Ao longo dos anos, o grupo se expandiu para o ecossistema de ransomware e também ganhou dinheiro com a ativação de ataques de ransomware e distribuição de malware para outros grupos de ameaças. Depois de se concentrar principalmente em organizações do setor de varejo e hospitalidade, o agente de ameaças ampliou sua lista de alvos para organizações em vários outros setores, incluindo defesa, transporte, servidores de TI, serviços financeiros e serviços públicos.
Pesquisadores de segurança estimam que o agente de ameaças roubou mais de US $ 1,2 bilhão das vítimas desde que surgiu pela primeira vez.
Pesquisadores da Mandiant no ano passado conseguiram vincular o Fin7 a dezenas de grupos de atividades de ameaças anteriormente não atribuídos com base em semelhanças em táticas, técnicas e procedimentos (TTPs) entre eles. Entre eles estavam pelo menos uma dúzia de invasões em locais de clientes da Mandiant desde 2020. As autoridades policiais dos EUA tentaram interromper as atividades da FIN7 várias vezes e até conseguiram enviar um administrador de grupo de alto nível para a prisão em 2018. Até agora, porém, as tentativas de parar o grupo falharam.
FONTE: DARK READING