FIN7- und Ex-Conti-Mitglieder arbeiten bei neuer "Domino"-Backdoor zusammen
IBMs X-Force hat Verbindungen zwischen ehemaligen Mitgliedern der Cybergang Conti sowie der FIN7-Gruppierung entdeckt. Die neue Backdoor "Domino" verbindet sie.
(Bild: Balefire / Shutterstock.com)
Die IT-Sicherheitsforscher von IBMs X-Force-Sicherheitsabteilung haben eine neue Malware-Familie aufgespürt, der sie den Namen "Domino" verpasst haben. Diese stamme wohl von Entwicklern, die den Cyberkriminellen der FIN7-Gruppe nahestehen. Ehemalige Mitglieder der Cybergang Conti/Trickbot setzen Domino seit Ende Februar ein, um einen Infostealer namens Project Nemesis oder umfangreichere Backdoors wie Cobalt Strike auf Opfer-Systemen zu verteilen.
Diese Entdeckung zeige, wie kompliziert die Zusammenarbeit zwischen cyberkriminellen Gruppen und ihren Mitgliedern sei, führt Charlotte Hammond von IBM in einem Blog-Post aus. So hätten die IT-Forscher beobachtet, dass seit Ende Februar die Kampagnen, die die Domino-Backdoor installiert haben, den sogenannten Dave-Loader nutzten. Der sei dem Trickbot-/Conti-Syndikat und dessen früheren Mitgliedern zuzuordnen. Der Code von Domino zeige Überschneidungen mit der Lizar-Malware, auch als Tirion oder Diceloader bekannt, was die Forscher vermuten lässt, dass sie von derzeitigen oder ehemaligen FIN7-Entwicklern erstellt wurde. Eine der mit Domino installierten Schädlinge sei der Infostealer Project Nemesis. Dieser wurde im Darknet ab Dezember 2021 beworben, seitdem jedoch nur selten genutzt.
Zuordnung von Malware zu Cyber-Gruppierungen
Frühere Conti-Mitglieder stecken wahrscheinlich hinter jüngeren Malware-Kampagnen, die den Dave-Loader zum Herunterladen der Domino-Backdoor nutzen. Dies gehe vermutlich auf eine Zusammenarbeit mit aktuellen oder ehemaligen FIN7-Programmierern zurück, um die neue Malware-Familie zu kaufen oder nutzen. Der Dave-Loader gehört Erkenntnissen von IBM X-Force zufolge zur Conti-Gruppe. Auch wenn die Gruppierung auseinandergebrochen ist, werden viele ihrer Loader und Crypters weiter entwickelt und von ehemaligen Cybergang-Mitgliedern und deren neuen Gruppierungen eingesetzt, etwa Quantum, Royal, Blackbasta oder Zeon.
Der Dave-Loader, der kürzlich mit mehreren Cobal-Strike-Samples und einem bestimmten Wasserzeichen genutzt wurde, ließ sich auf Gruppen mit ehemaligen Conti-Mitgliedern wie Quantum und Royal zurückführen. Mit dem Dave-Loader geladene Cobalt Strike-Samples mit dem konkreten Wasserzeichen hat IBM X-Force seit dem Herbst 2022 in Angriffen der Royal-Cybergang beobachtet. Außerdem wurde der Loader in diesem Jahr bereits zum Laden von IcedID und Emotet genutzt, die beide als initiale Zugriffsvektoren für Ransomware-Angriffe von früheren Conti-verbundenen Gruppierungen dienen.
Die Verbindungen zu FIN7 werden durch überlappenden Code deutlich, den die Domino-Backdoor und Loader mit der Lizar-Malware teilen, die der Cybergang zuzuordnen ist. Neben Ähnlichkeiten im Programmierstil und bei Funktionen wiesen Domino und Dice-Loader dieselbe Konfigurationsstruktur und gleiche Bot-ID-Formate auf. Lizar kam Berichten zufolge erstmals im März 2020 zum Einsatz und wurde da noch Tirion genannt. Seitdem wurde die Schadsoftware in zahlreichen FIN7-Kampagnen bis Ende 2022 beobachtet. Domino ist mindestens seit Oktober 2022 in freier Wildbahn anzutreffen, seitdem wurde Lizar immer seltener gesichtet.
Ein weiteres Indiz ist die initiale Nutzung des NewWorldOrder-Loaders gegen Ende vergangenen Jahres. Der wurde auch zum Laden der Backdoor Carbanak genutzt, die FIN7 seit 2015 einsetzt. Die IP-Adressen der Command-und-Control-Server der Domino-Backdoor lägen dicht bei denen, die FIN7 früher für SSH-basierte Hintertüren genutzt hatte. Zwar reichen IP-Adressen nicht für eine sichere Zuordnung, aber sie zeigen eine gewisse Konsistenz der Ergebnisse.
FIN7 und Conti haben auch früher schon zusammengearbeitet
Die Kollaboration ist kein Novum. Bereits 2020 haben IT-Forscher Hammond zufolge Angriffe mit der Ryuk-Ransomware von FIN7 beobachtet, die jedoch dem Trickbot-/Conti-Syndikat zugeordnet wird. Wieder andere hätten Verbindungen zwischen einem FIN7-Programmierer und von der Blackbasta-Gruppe genutzten Tools gefunden, die ihrerseits Verknüpfungen zur früheren Conti-Gang aufweist.
Die verworrenen Verknüpfungen würden den Cyberkriminellen Chancen bieten, schließt Hammond die Analyse ab. Das Ergebnis zeige aber auch, wie komplex die Nachverfolgung von Cyberakteuren inzwischen ist. Neben diesen Verbindungen der unterschiedlichen Cyberkriminellen liefert der Blog-Beitrag noch detailliertere Analysen der erwähnten Malware-Samples und Infektions-Indizien (Indicators Of Compromise, IOCs).
(dmk)
