Печально известная хакерская группа Fin7 вернулась с новым шта | S.E.Reborn

Печально известная хакерская группа Fin7 вернулась с новым штаммом вредоносного ПО под названием Domino.

На этот раз они объединились с бывшими участниками Conti, чтобы начать свою вредоносную кампанию.

Исследователи из IBM Security Intelligence отслеживают бывших участников Conti и TrickBot, использующих новую малварь для атак на корпоративные сети США и Европы, с февраля 2023 года.

Еще с осени 2022 года исследователи IBM наблюдали за атаками с использованием загрузчика под названием "Dave Loader", который также был связан с бывшими участниками Conti ransomware и TrickBot.

Domino — это сложная вредоносная программа, которая может красть данные из зараженных систем, включая пароли, документы и другую конфиденциальную информацию. Он также содержит возможности программ-вымогателей, которые можно использовать для шифрования файлов в зараженной системе.

Хакеры, стоящие за Domino, активно атакуют компании индустрии гостеприимства (туризм, гостиничный и ресторанный бизнес), поскольку эти организации, как правило, менее защищены и более уязвимы для атак.

После установки в уязвимой системе Domino способен отключать функции безопасности, такие как Защитник Windows и UAC. Затем он собирает учетные данные из таких браузеров, как Chrome и Firefox и передает их на сервер злоумышленников.

Считается, что хакеры, стоящие за Domino, являются бывшими членами Conti и похоже, что они объединили усилия с Fin7 — одной из самых активных на сегодняшний день киберпреступных групп — которые используют свой опыт в разработке вредоносного программного обеспечения для этой новой кампании.

Схема взаимодействия достаточно запутанная и коррелируется с использованием целого арсенала вредоносного ПО, что означает, что придется иметь дело с запутанной сетью нескольких субъектов угроз.