IBM Security X-Forceが最近発見した新しいマルウェア「Domino」。今年2月以降、Trickbot/Contiシンジケートの元メンバーがこのマルウェアを使っているということなのですが、IBM Security X-ForceによるとDominoはFIN7の開発者とも関係しているようです。
IBM Security X-Forceが発見、分析
Trickbot/Contiシンジケートはロシアを拠点にしているとみられるサイバー犯罪グループで、Wizard SpiderやUNC1878などとも呼ばれています。アメリカのブロックチェーン分析会社、チェイナリシスによると北朝鮮に関係するLazarusに次いで巨大な犯罪収益を得ているグループです。Trickbotはもともとトロイの木馬型ウィルスとして金融犯罪で使われてきましたが、その後、Ryukなどのランサムウェアを投下するローダーとして使われました。ContiはランサムウェアContiを担っていたグループでTrickbotのグループとContiのグループが一体であるのか不明ですが、関係性が深いことは確かなようです。Contiは昨年2月にロシア軍がウクライナに侵攻した際、侵攻を支持したことから内部情報が流出し、Contiとロシア連邦保安局(FSB)の関係が明るみになったとされています。
こうした経緯からContiランサムウェアは閉鎖に追い込まれましたが、Contiのメンバーは引き続きサイバー犯罪活動を続けていると見られています。Trickbot/Contiシンジケートは今年2月、アメリカとイギリス当局による共同制裁の対象に指定され、その際、イギリスの当局者は「Conti ランサムウェアのグループは 2022 年 5 月に解散したが、このグループのメンバーは、英国を脅かす悪名高い新しいランサムウェア株のいくつかに引き続き関与している」と指摘しています。
IBM Security X-Forceによると、今年2月以降、情報を窃取するマルウェアやバックドアを配信するためにDominoと呼ばれる新しいマルウェアが使われており、そのキャンペーンで使用されているDave LoaderはTrickbot/Contiシンジケートとその元メンバーに関連づいているということです。また、DominoのコードはFIN7が使用しているLizarマルウェアと重複しているということです。さらにDominoの最後のペイロードの1つは、Project Nemesisインフォスティーラーで、Project Nemesisは2021年12月にダークウェブで宣伝されたが、それ以来、ほとんど使用されていないということです。
FIN7、米がリーダー格逮捕も継続している活動
これらよりIBM Security X-Forceは、Dominoバックドアキャンペーンの背後にはTrickbot/Contiシンジケートの元メンバーがいる可能性が高く、また、FIN7の開発者または元開発者と協力して新しいマルウェアを使用している可能性があるとしていて、2つのグループがコラボしている可能性について示唆しています。
FIN7は、アメリカの小売り、レストラン、ホスピタリティ業界などを標的に2013年から活動を続けている金銭目的の脅威グループで、もともと企業の財務データやPoSシステムへの攻撃を手がけていたグループですが、2020年以降はランサムウェアによる攻撃へと手法を変化させ、REvil、DarkSide、BlackMatter、Alphvなどのランサムウェアとの関係が指摘されてきました。
アメリカ当局はこれまでにFIN7メンバーのウクライナ人の男計4人を逮捕、起訴しており、その中には組織のリーダー格も含まれていたようです。しかし、メンバー逮捕後もFIN7の活動は衰えておらず、2021年5月にはLizar マルウェアを使用して活動を再開していることが明らかになっています。
■出典
https://securityintelligence.com/posts/ex-conti-fin7-actors-collaborate-new-domino-backdoor/
https://securityintelligence.com/posts/itg23-crypters-cooperation-between-cybercriminal-groups/
https://cyware.com/news/fin7-active-again-with-new-lizar-backdoor-53a4ef8d