FIN7 dan Mantan Geng Kejahatan Dunia Maya Bergabung dalam Serangan Malware Domino
17 April 2023 Ravie Lakshmanan
Jenis malware baru yang dikembangkan oleh pelaku ancaman yang kemungkinan berafiliasi dengan kelompok kejahatan dunia maya FIN7 telah dimanfaatkan oleh anggota geng ransomware Conti yang sekarang sudah tidak ada lagi, yang menunjukkan adanya kolaborasi antara kedua kru tersebut.
Malware tersebut, dijuluki Kartu dominopada dasarnya dirancang untuk memfasilitasi eksploitasi lanjutan pada sistem yang disusupi, termasuk mengirimkan pencuri informasi yang kurang dikenal yang telah diiklankan untuk dijual di web gelap sejak Desember 2021.
“Mantan anggota sindikat TrickBot/Conti […] telah menggunakan Domino setidaknya sejak akhir Februari 2023 untuk menghadirkan pencuri informasi Project Nemesis atau pintu belakang yang lebih mumpuni seperti Cobalt Strike,” kata peneliti keamanan IBM Security X-Force Charlotte Hammond dalam laporan yang diterbitkan minggu lalu.
FIN7, juga disebut Carbanak dan ITG14, adalah sindikat penjahat dunia maya produktif berbahasa Rusia yang diketahui menggunakan serangkaian malware khusus untuk menyebarkan muatan tambahan dan memperluas metode monetisasinya.
Analisis terbaru oleh Mandiant, SentinelOne, dan PRODAFT milik Google telah mengungkapkan peran grup tersebut sebagai pendahulu serangan ransomware Maze dan Ryuk, belum lagi mengungkap koneksinya ke keluarga Black Basta, DarkSide, REvil, dan LockBit.
Gelombang intrusi terbaru, yang ditemukan oleh IBM Security X-Force dua bulan lalu, melibatkan penggunaan Dave Loader, sebuah crypter yang sebelumnya dikaitkan dengan grup Conti (alias Gold Blackburn, ITG23, atau Wizard Spider), untuk menyebarkan pintu belakang Domino.
Potensi koneksi Domino ke FIN7 berasal dari kode sumber yang tumpang tindih dengan DICELOADER (alias Lizar atau Tirion), keluarga malware yang telah teruji waktu yang dikaitkan dengan grup tersebut. Malware ini dirancang untuk mengumpulkan informasi sensitif dasar dan mengambil muatan terenkripsi dari server jarak jauh.
Artefak tahap berikutnya ini adalah pemuat kedua dengan nama kode Domino Loader, yang menampung pencuri informasi .NET terenkripsi yang disebut Project Nemesis yang mampu mengumpulkan data sensitif dari clipboard, Discord, browser web, dompet kripto, layanan VPN, dan aplikasi lainnya.
“Domino telah aktif di alam liar setidaknya sejak Oktober 2022, terutama ketika pengamatan Lizar mulai berkurang,” Hammond menunjukkan, menunjukkan bahwa pelaku ancaman mungkin akan menghentikan penggunaan malware baru secara bertahap.
Tautan penting lainnya yang menjembatani Domino ke FIN7 berasal dari kampanye Desember 2022 yang memanfaatkan loader lain yang disebut NewWorldOrder Loader untuk mengirimkan backdoor Domino dan Carbanak.
Pintu belakang dan pemuat Domino – keduanya DLL 64-bit yang ditulis dalam Visual C++ – dikatakan telah digunakan untuk menginstal Project Nemesis setidaknya sejak Oktober 2022, sebelum digunakan oleh mantan anggota Conti awal tahun ini.
“Hal ini mengarahkan kami untuk menilai bahwa anggota ITG14 yang bertanggung jawab mengembangkan Domino mungkin memiliki hubungan dengan Project Nemesis dan menawarkan Domino dan pencuri informasi kepada mantan pelaku ancaman Conti sebagai satu paket,” kata Hammond. “Mantan anggota Conti kemungkinan besar menggunakan pencuri informasi Project Nemesis untuk menargetkan target bernilai lebih rendah.”
Penggunaan malware pencuri oleh distributor ransomware bukannya tanpa preseden. Pada bulan November 2022, Microsoft mengungkapkan intrusi yang dilakukan oleh pelaku ancaman yang dikenal sebagai DEV-0569 yang memanfaatkan malware BATLOADER untuk mengirimkan Vidar dan Cobalt Strike, yang terakhir memfasilitasi serangan ransomware yang dioperasikan manusia yang mendistribusikan ransomware Royal.
Hal ini meningkatkan kemungkinan bahwa pencuri informasi dikerahkan selama infeksi dengan prioritas lebih rendah (misalnya, komputer pribadi), sementara mereka yang termasuk dalam domain Direktori Aktif dilayani dengan Cobalt Strike.
“Penggunaan malware yang terkait dengan beberapa grup dalam satu kampanye – seperti Dave Loader, Domino Backdoor, dan infostealer Project Nemesis – menyoroti kompleksitas dalam melacak pelaku ancaman, namun juga memberikan wawasan tentang bagaimana dan dengan siapa mereka beroperasi,” Hammond menyimpulkan.
Memperbarui
IBM Security X-Force mengatakan pihaknya mengganti nama pintu belakang dari Domino menjadi Minodo untuk “menghindari kemungkinan kebingungan dengan merek HCL Domino.”
Apakah artikel ini menarik? Ikuti kami di Twitter dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.
