Conti 元メンバーと FIN7 開発者の共闘：新たな Domino マルウェアを配布している

Ex-Conti members and FIN7 devs team up to push new Domino malware

2023/04/17 BleepingComputer — Conti ランサムウェアの元メンバーが、FIN7 脅威アクターと手を組み、企業ネットワークへの攻撃において、Domino という新たなマルウェア・ファミリーを配布しているようだ。Domino は、２つのコンポーネントから構成される、比較的に新しいマルウェア・ファミリーである。最初に、Domino Backdoor という名前のバックドアをドロップし、そのバックドアが Domino Loader をドロップすることで、情報を窃取する DLL マルウェアが、他のプロセスやメモリに注入されていく 。

IBM Security Intelligence の研究者たちは、この新たなマルウェアを攻撃に利用する元 Conti と TrickBot のメンバーを、2023年2月から追跡している。

しかし、4月14日 (金) に発表された IBM の最新レポートには、Domino マルウェアの実際の開発が FIN7 ハッキング・グループと関連付けられると記されている。この FIN7 は、さまざまなマルウェアや、BlackBasta／DarkSide ランサムウェアのオペレーションに関与しているサイバー犯罪者集団である。

Domino マルウェアの攻撃について

2022年秋以降から IBM の研究者たちは、Conti の元メンバー／TrickBot のメンバーが関与している、Dave Loader マルウェア・ローダーを用いた攻撃を追跡してきた。

このローダーは、206546002 のウォーター・マークを利用する Cobalt Strike ビーコンを展開していることが確認されている。これは、Royal／Play ランサムウェア・オペレーションにおいて、元 Conti メンバーによる攻撃で観察されている。

IBM によると、Dave Loader は、2022年6月の時点では、ほぼ独占的に Conti が使用しており、その後に、BlackBasta／Quantum が使用して、Emotet を展開していたことも確認されている。

しかし最近になって、Dave Loader が新しい Domino マルウェア・ファミリーをインストールするのを発見したと IBM は述べている。最も一般的なのは、Dave Loader が Domino Backdoor をドロップし、それが Domino Loader をインストールするケースだ。

Domino Backdoor は 64 Bit の DLL であり、実行中のプロセス／ユーザー名／コンピュータ名などのシステム情報を列挙し、攻撃者の C2 サーバに送り返す。また、このバックドアはペイロードを受信し、それがコマンドを実行し、さらなるインストールを行う。

このバックドアは、Nemesis Project と呼ばれる、ビルトイン .NET 情報スティーラーをインストールする、追加ローダーの Domino Loader をダウンロードすることが確認されている。また、より持続性を高めるために、Cobalt Strike ビーコンを仕掛けることも可能だ。

IBM の研究者である Charlotte Hammond と Ole Villadsen は、「Domino バックドアは、ドメイン結合されたシステムに対して、異なる C2 アドレスで連絡するように設計されている。それが示唆するのは、Project Nemesis に代えて Cobalt Strike のような高性能バックドアが、より価値の高いターゲットにダウンロードされることだ」と説明している。

Project Nemesis は標準的な情報窃取型マルウェアであり、アプリケーションに保存されている認証情報や、暗号通貨ウォレット、ブラウザの履歴などを収集する。

元 Conti メンバーが FIN7 とタッグを組んだ

特にランサムウェアを利用する脅威アクターは、マルウェアの配布や企業ネットワークへのイニシャル・アクセスのために、他の脅威グループと提携するのが一般的だ。

たとえば、TrickBot／Emotet／BazarBackdoor／QBot (QakBot) などが収集したイニシャル・アクセスは、REVIL／Maze／Egregor／BlackBasta／Ryuk／Conti などのランサムウェア・オペレーションに対して、長期間にわたって提供されてきた。

しかし、マルウェア開発者とランサムウェア・ギャングの境界線が曖昧になり、２つのオペレーションを区別することが難しくなっている。

Conti サイバー犯罪シンジケートの結成により、ランサムウェア・オペレーションが TrickBot と BazarBackdoor の開発を、自身のオペレーションのためにコントロールするようになったことで、この境界線はさらに希薄になった。

さらに Conti が活動を停止した後に、このランサムウェア・オペレーションは小さく分解され、そのメンバーたちは Royal／Play／Quantum／Zeon／Dagon／BlackBasta／LockBit などの、ランサムウェア界隈のあらゆる場所に移動していった。

IBM は、Dominoマルウェア・ファミリーが FIN7 に起因すると、IBM が主張する背景には、FIN7に関連するポスト・エクスプロイト・ツールキットである、Lizar (別名 Tirion／DiceLoader) とのコードの重複が非常に多いという理由がある。

さらに IBM が発見したのは、一般的には FIN7 の Carbanak 攻撃で使用される NewWorldOrder というローダーが、最近に Domino マルウェアのプッシュに使用されていたことだ。

つまり、Dave Loader (TrickBot／Conti) が Domino (FIN7) マルウェアを推進し、そのマルウェアが元 Conti メンバーのランサムウェア活動に関連すると思われる、Project Nemesis／Cobalt Strike ビーコンを展開するという、混乱した共同事業が行われているのだ。

防御側は、ネットワークへのリモート・アクセスを可能にするマルウェアを持つ、脅威アクターたちの複雑な罠に対処しく必要がある。

訳しただけでは、Conti と FIN7、そして Dave Loader と Domino Backdoor と Domino Loader の関係性が、さっと整理できないほどの複雑さですね。Cinto に関しては、たくさんの情報がりますので、Conti で検索を、ご利用ください。また、FIN7 に関しては、2022/04/05 の「FIN7 ギャングの戦略：運輸／保険／防衛をターゲットにサプライチェーン攻撃？」と、2022/12/22 の「FIN7 ハッキング・グループの正体：Exchange を SQL インジェクションで自動攻撃」があります。よろしければ、こちらも、ご参照ください。