Эксперты IBM Security Intelligence сообщают, что бывшие участники вымогательской группы Conti объединились с представителями FIN7 для распространения нового семейства малвари Domino, которое атакует корпоративные сети. Domino состоит из двух компонентов: бэкдора и Domino Loader, написанного на Visual C++ и внедряющего в память другого процесса DLL, предназначенный для кражи информации.
С осени 2022 года исследователи IBM отслеживают атаки с использованием загрузчика Dave Loader, который связан с бывшими членами Conti и TrickBot. Этот загрузчик был замечен в развертывании маяков Cobalt Strike с «водяным знаком» 206546002, что наблюдалось в атаках вымогателей Royal и Play, которые связаны с бывшими участниками Conti.
Но недавно обнаружилось, что Dave Loader начал распространять новое семейство вредоносных программ Domino (чаще всего — бэкдор Domino, который затем устанавливал Domino Loader).
Бэкдор Domino представляет собой библиотеку DLL, которая собирает системную информацию (запущенные процессы, имена пользователей, имена компьютеров) и передает ее на управляющий сервер злоумышленников. Бэкдор также получает команды от своих операторов и дополнительные пейлоады для установки.
Как уже было сказано выше, бэкдор скачивает дополнительный загрузчик Domino Loader, который устанавливает .NET-малварь для кражи данных под названием Nemesis Project. Также он может устанавливать маяки Cobalt Strike для закрепления в системе.
Project Nemesis представляет собой стандартного вредоноса для кражи информации, который может воровать учетные данные, хранящиеся в браузерах и приложениях, криптовалютных кошельках и историю браузера.
Эксперты связывают семейство Domino с группировкой FIN7 из-за заметных сходств в коде с набором инструментов для пост-эксплуатации Lizar (он же Tirion и DiceLoader). Кроме того, IBM обнаружила, что загрузчик NewWorldOrder, обычно используемый в атаках FIN7 Carbanak, недавно использовался для распространения Domino.
В результате получается, что Dave Loader (связанный с TrickBot/Conti) распространяет малварь Domino (связанную с FIN7), которая, в свою очередь, развертывает в системах жертв маяки Project Nemesis или Cobalt Strike, которые, по мнению экспертов, связаны с активностью бывших вымогателей из группировки Conti.
Отмечается, что границы между разработчиками вредоносных программ и вымогательским группировками стали настолько размытыми, что это затрудняет обнаружение различий и атрибуцию тех или иных кампаний.
