FIN7 APT IOCs

security IOC
Опубликовано

IBM Security X-Force недавно обнаружила новое семейство вредоносных программ, которое назвали "Domino" и которое было создано разработчиками, связанными с киберпреступной группой, которую X-Force отслеживает как ITG14, также известной как FIN7. Бывшие члены синдиката Trickbot/Conti, который X-Force обозначает как ITG23, используют Domino, по крайней мере, с конца февраля 2023 года для доставки либо кражи информации Project Nemesis, либо более мощных бэкдоров, таких как Cobalt Strike.

  • С конца февраля 2023 года были замечены кампании Domino Backdoor с использованием Dave Loader, который мы связали с синдикатом Trickbot/Conti и его бывшими членами.
  • Код Domino пересекается с семейством вредоносных программ Lizar (он же Tirion, Diceloader), что заставляет нас подозревать, что он был создан нынешними или бывшими разработчиками ITG14.
  • Одной из последних полезных нагрузок Domino является инфостеллер Project Nemesis. Project Nemesis был впервые объявлен в темной паутине в декабре 2021 года, но с тех пор использовался редко.

ITG14/ITG23 APT

Бывшие члены ITG23 (они же синдикат Trickbot/Conti), вероятно, стоят за недавними кампаниями с использованием загрузчика Dave для загрузки Domino Backdoor и, вероятно, сотрудничали с нынешними или бывшими разработчиками ITG14 для приобретения или использования нового семейства вредоносных программ. X-Force ранее оценила, что Dave является одним из нескольких загрузчиков или криптеров, разработанных членами группы Trickbot/Conti. Хотя группа распалась, многие из ее загрузчиков/криптеров, включая Dave, сохранились и продолжают использоваться фракциями, состоящими из бывших членов Trickbot/Conti, включая Quantum, Royal, BlackBasta и Zeon.

  • Загрузчик Dave недавно использовался с несколькими образцами Cobalt Strike с водяным знаком "206546002", которые X-Force и другие исследователи безопасности - здесь и здесь - связывали с группами, состоящими из бывших членов синдиката Trickbot/Conti, включая Quantum и Royal. X-Force наблюдала образцы Cobalt Strike с Dave-загрузчиком, использующие этот водяной знак в предполагаемых атаках Royal осенью 2022 года.
  • В этом году Dave Loader также использовался для загрузки IcedID и Emotet, которые служат векторами начального доступа для атак с выкупом от бывших группировок, связанных с Trickbot/Conti.

Недавно обнаруженные образцы Dave загружали новую вредоносную программу, которую мы назвали Domino Backdoor. Этот новый бэкдор собирает основную системную информацию, которую затем отправляет на C2, а в ответ получает зашифрованную AES полезную нагрузку.

В большинстве случаев получаемая полезная нагрузка представляла собой второй загрузчик, код которого совпадал с кодом Domino Backdoor, и поэтому мы назвали его Domino Loader. Этот загрузчик содержит зашифрованную полезную нагрузку в своих ресурсах, которую он расшифровывает с помощью AES. Расшифрованная полезная нагрузка представляет собой .NET infostealer, который идентифицирует себя как 'Nemesis Project'.

Бэкдор Domino предназначен для обращения к другому адресу C2 для систем, объединенных доменом, что позволяет предположить, что более мощный бэкдор, такой как Cobalt Strike, будет загружен на более ценные цели вместо Project Nemesis.

Анализ показал, что и бэкдор Domino, и загрузчик имеют схожий код с вредоносным ПО Lizar, также известным как Tirion и DiceLoader, которое приписывается группе угроз ITG14 (FIN7). Помимо схожего стиля кодирования и функциональности, Domino и DiceLoader имеют одинаковую структуру конфигурации и схожие форматы идентификаторов ботов. По сообщениям, Lizar был впервые использован в марте 2020 года, когда он первоначально назывался Tirion, и наблюдался в многочисленных кампаниях ITG14 вплоть до конца 2022 года. Domino был активен в дикой природе, по крайней мере, с октября 2022 года, что заметно, когда количество наблюдений Lizar начало уменьшаться.

Исследователи X-Force обнаружили дополнительные доказательства связи Domino Backdoor с Carbanak Backdoor компании ITG14. X-Force обнаружили образцы Domino Backdoor от декабря 2022 года, которые использовали другой загрузчик, названный нами NewWorldOrder Loader. Образцы использовали имя ThunderboltService.exe и загружали и загружали Project Nemesis Stealer.

Примерно в то же время мы обнаружили образцы NewWorldOrder Loader с тем же именем ThunderboltService.exe, которые использовались для загрузки бэкдора Carbanak. Carbanak использовался ITG14 с конца 2015 года.

Наконец, аналитики X-Force также заметили, что два адреса C2 Domino Backdoor, принадлежащие MivoCloud: 94.158.247[.]72 и 185.225.17[.]202 очень близки к адресам C2, которые ITG14 ранее использовала для бэкдоров на базе SSH, например 94.158.247[.]23 и 185.225.17[.]220. Хотя такое совпадение недостаточно для атрибуции, оно, тем не менее, согласуется с другими доказательствами, связывающими Domino с разработчиком ITG14, и может указывать на то, что последний предпочитает MivoCloud, по крайней мере, для некоторых своих адресов C2. MivoCloud также использовался для размещения C2-серверов Diceloader и Carbanak.

Project Nemesis активно используется в дикой природе с декабря 2021 года, когда он был выставлен на продажу на нескольких форумах Dark Web. Он может собирать данные из различных веб-браузеров, а также приложений, включая Steam, Telegram, Discord, криптовалютные кошельки и VPN-провайдеров.

Domino использовался для установки Project Nemesis как минимум с октября 2022 года - до того, как в конце февраля 2023 года его использовали бывшие участники группы "Конти". Это позволяет нам предположить, что члены ITG14, ответственные за разработку Domino, вероятно, были связаны с Project Nemesis и предложили Domino и infostealer угрожающим субъектам ex-Conti в качестве пакета. Бывшие члены "Конти", в свою очередь, вероятно, использовали инфокрада "Проект Немезида" против менее ценных целей.

Использование инфосталеров бывшими членами Trickbot/Conti и их распространителями не лишено прецедентов - другие исследователи безопасности наблюдали инфосталер Vidar, поставляемый в ходе кампаний DEV-0569 Batloader, которые в некоторых случаях приводили к появлению программ Cobalt Strike и Royal ransomware. По нашим оценкам, инфостиллеры часто могут быть развернуты во время заражений с более низким приоритетом, например, на персональных компьютерах или компьютерах, не принадлежащих домену Active Directory, в то время как более приоритетные заражения получают другие бэкдоры, такие как Cobalt Strike.

Indicators of Compromise

IPv4

  • 178.23.190.73
  • 185.225.17.202
  • 45.67.34.236
  • 5.182.37.118
  • 88.119.175.124
  • 94.158.247.72

Domains

  • es-megadom.com

SHA256

  • 51e0512a54640be8e3477363c8d72d893c6edd20399bddf71e95eec3ddfdb42e
  • 92651f9418625e5281b84cccb817e94e6294b36c949b00fcd4046770b87f10e4
  • b14ab379ff43c7382c1aa881b2be39275c1594954746ef58f6a9a3535e8dc1a8
  • ce99b4c0d75811ce70610d39b1007f99560e6dea887a451e08916a4f8cf33678
  • dbdfc3ca5afa186c1a9a9c03129773f7bc17fb7988fe0ca40fc3c5bedb201978
  • de9b3c01991e357a349083f0db6af3e782f15e981e2bf0a16ba618252585923a
  • e5af0b9f4650dc0193c9884507e6202b04bb87ac5ed261be3f4ecfa3b6911af8
  • f1817665ea2831f775e23cbda27cbeb06d03e6c39bbfad920b50f40712dd37cb
  • f4ebd59fb578a0184abf6870fc652210d63e078a35dace0a48c5f273e417c13d
Похожие записи:
  1. JSSLoader IOCs
  2. Laplas Clipper IOCs
  3. SmokeLoader IOCs - Part 2
  4. Атаки Ransomware на критическую инфраструктуру финансируют вредоносную кибердеятельность КНДР
  5. SmokeLoader IOCs - Part 7
Backdoor Dave Domino FIN7 IBM Security X-Force Loader Project Nemesis Stealer
Добавить комментарий