新型多米诺木马的攻击

关键要点

• FIN7黑客组织及前Conti勒索软件成员自2月份以来针对企业网络进行攻击。
• 多米诺木马家族通过“Dave Loader”分发，此Loader曾用于Emotet的传播。
• 多米诺后门会安装.NET信息窃取器“Nemesis Project”和Cobalt Strike信标。
• FIN7的多米诺木马与Lizar后渗透工具有显著重叠。

自2月份起，FIN7黑客组织 及前Conti勒索软件成员开发的新型多米诺木马
已经开始针对企业网络展开攻击，最新消息来源于。IBM
研究人员发现，多米诺木马家族通过先前用于Emotet 传播的“Dave Loader ”进行分发。这种Loader会释放“多米诺后门
”，随后提示安装“多米诺加载器 ”，该加载器将植入.NET信息窃取器“Nemesis Project ”及Cobalt Strike信标。

“多米诺后门设计与其他指挥与控制（C2）地址联系，适用于加入域的系统，这表明它将针对高价值目标下载更强大的后门，比如Cobalt
Strike，而不是Project Nemesis，” IBM研究人员Charlotte Hammond 和Ole Villadsen
表示。

多米诺木马与Lizar后渗透工具 （也称为Tirion 和DiceLoader
）之间显著的重叠，进一步促使了这一新型恶意软件的归因于FIN7。此外，研究还发现多米诺木马通过“NewWorldOrder
”加载器进行部署，该加载器也曾在FIN7的攻击中使用过。

相关链接 | 描述
—|—
| 了解更多关于FIN7的信息
| 关于多米诺木马的详细分析

此轮攻击显著地增强了FIN7在网络犯罪空间中的地位，企业需要提高警惕，采取有效的防御措施以抵御这类新兴威胁。