![](https://breachtrace.com/wp-content/uploads/2023/04/threat-actor-1024x608.webp)
Les anciens membres du rançongiciel Conti se sont associés aux acteurs de la menace FIN7 pour distribuer une nouvelle famille de logiciels malveillants nommée « Domino » dans les attaques sur les réseaux d’entreprise.
Domino est une famille de logiciels malveillants relativement nouvelle composée de deux composants, une porte dérobée nommée « Domino Backdoor », qui à son tour dépose un « Domino Loader » qui injecte une DLL de malware voleur d’informations dans la mémoire d’un autre processus.
Les chercheurs d’IBM sur le renseignement de sécurité ont suivi les anciens membres de Conti et TrickBot utilisant le nouveau logiciel malveillant dans des attaques depuis février 2023.
Cependant, un nouveau rapport d’IBM publié vendredi établit un lien entre le développement réel du logiciel malveillant Domino et le groupe de piratage FIN7 – une équipe cybercriminelle liée à une variété de logiciels malveillants et aux opérations de ransomware BlackBasta et DarkSide.
Les attaques Domino Malware
Depuis l’automne 2022, les chercheurs d’IBM suivent les attaques à l’aide d’un chargeur de logiciels malveillants nommé « Dave Loader » qui est lié à d’anciens membres du rançongiciel Conti et de TrickBot.
Ce chargeur a été vu en train de déployer des balises Cobalt Strike qui utilisent un filigrane ‘206546002’, observé dans les attaques d’anciens membres de Conti dans les opérations de ransomware Royal et Play.
IBM affirme que Dave Loader a également été vu en train de déployer Emotet, qui a été utilisé presque exclusivement par l’opération de ransomware Conti en juin 2022, puis plus tard par les gangs de ransomware BlackBasta et Quantum.
Cependant, plus récemment, IBM a déclaré avoir vu Dave Loader installer la nouvelle famille de logiciels malveillants Domino.
Le plus souvent, Dave Loader laissait tomber « Domino Backdoor », qui installait ensuite « Domino Loader ».
Domino Backdoor est une DLL 64 bits qui énumère les informations système, telles que les processus en cours d’exécution, les noms d’utilisateur, les noms d’ordinateur, et les renvoie au serveur de commande et de contrôle de l’attaquant. La porte dérobée reçoit également des commandes à exécuter ou d’autres charges utiles à installer.
La porte dérobée a été vue en train de télécharger un chargeur supplémentaire, Domino Loader, qui installe un voleur d’informations .NET intégré appelé « Nemesis Project ». Il peut également planter une balise Cobalt Strike, pour une plus grande persistance.
« La porte dérobée Domino est conçue pour contacter une adresse C2 différente pour les systèmes joints à un domaine, ce qui suggère qu’une porte dérobée plus performante, telle que Cobalt Strike, sera téléchargée sur des cibles de plus grande valeur au lieu de Project Nemesis », expliquent les chercheurs d’IBM Charlotte Hammond et Ole. Villadsen.
![](https://breachtrace.com/wp-content/uploads/2023/04/domino-malware-attack-flow-1024x619.webp)
Project Nemesis est un logiciel malveillant standard de vol d’informations qui peut collecter des informations d’identification stockées dans des navigateurs et des applications, des portefeuilles de crypto-monnaie et l’historique du navigateur.
Les anciens membres de Conti font équipe avec FIN7
Les auteurs de menaces, en particulier ceux qui utilisent des ransomwares, s’associent généralement à d’autres groupes de menaces pour distribuer des logiciels malveillants et pour un accès initial aux réseaux d’entreprise.
Par exemple, TrickBot, Emotet, BazarBackdoor et QBot (QakBot) fournissent depuis longtemps un accès initial aux opérations de ransomware, telles que REvil, Maze, Egregor, BlackBasta, Ryuk et Conti.
Au fil du temps, les frontières entre les développeurs de logiciels malveillants et les gangs de rançongiciels sont devenues troubles, ce qui rend difficile la distinction entre les deux opérations.
Avec la formation du syndicat de la cybercriminalité Conti, ces lignes se sont estompées encore plus alors que l’opération de ransomware a pris le contrôle du développement de TrickBot et de BazarBackdoor pour leurs propres opérations.
De plus, après la fermeture de Conti, l’opération de ransomware s’est scindée en cellules plus petites, les membres se déplaçant dans tout l’espace des ransomwares, notamment Royal, Play, Quantum/Zeon/Dagon, BlackBasta, LockBit, etc.
IBM a attribué la famille de logiciels malveillants Domino à FIN7 en raison d’un grand chevauchement de code avec Lizar (alias Tirion et DiceLoader), une boîte à outils de post-exploitation associée à FIN7.
En outre, IBM a découvert qu’un chargeur nommé « NewWorldOrder », normalement utilisé dans les attaques Carbanak de FIN7, a récemment été utilisé pour pousser le malware Domino.
![](https://breachtrace.com/wp-content/uploads/2023/04/newworldorder.webp)
Ainsi, dans une joint-venture déroutante, nous avons Dave Loader (TrickBot/Conti) poussant le malware Domino (FIN7), qui à son tour déploie des balises Project Nemesis ou Cobalt Strike qui seraient associées à l’activité de ransomware des anciens membres de Conti.
Cela signifie que les défenseurs doivent faire face à un réseau déroutant d’acteurs malveillants, tous avec des logiciels malveillants permettant l’accès à distance aux réseaux.