Lizar Backdoor

En kompleks phishing-operation leverer en ny sofistikeret bagdørstrussel kaldet Lizar. Kampagnen menes at blive gennemført af den økonomisk motiverede FIN7 cyberkriminelle gruppe. Hackerne udgør som en legitim organisation, der tilbyder et Windows-penetrations testværktøj rettet mod moralsk bevidste hackere. Imidlertid er de målrettede ofre i stedet inficeret med Lizar-malware, der giver trusselsaktøren kontrol over den kompromitterede computer og evnen til at bevæge sig lateralt inde i organisationens netværk. FIN7-hackerne har gjort en omfattende indsats for at få dem til at fremstå så legitime som muligt og endda ansætte medarbejdere, der holdes i mørket om det faktum, at de bruges til at promovere og levere en reel malware-trussel, ifølge resultaterne fra BI. ZONE Cyber Threats Research Team.

Lizar Backdoors funktionalitet

Hovedfunktionaliteten ved Lizar Backdoor er exfiltrering af data fra de inficerede computere og spredning af sig selv til andre enheder, der er forbundet til offerets interne netværk. Malwaren viser tegn på at være i aktiv udvikling og stadig under test. Selv på dette stadium er Lizar Backdoor potent nok til at have været indsat i flere angreb mod mål i flere lande. De fleste ofre var fra USA og omfattede uddannelsesinstitutioner, farmaceutiske virksomheder og en spilorganisation. Lizar Backdoor er også blevet gearet mod et it-selskab med hovedsæde i Tyskland og en finansiel organisation fra Panama.

Lizar-bagdørens struktur

Strukturelt ser Lizar Backdoor ud til at være baseret på Carbanak RAT, FIN7s mest almindeligt anvendte truende værktøj. Lizar består af et loader-segment og adskillige plugins, der hver er ansvarlige for en anden opgave. Alle komponenter, der kører på den kompromitterede maskine, kan kombineres til en botklient, der bærer fjernserverkommunikationen. Den modulære struktur af malware gør det muligt for hacker at skalere og forme det efter deres særlige behov, da hvert plugin kan udvikles separat. Indtil videre er der observeret tre typer klientbots - DLL-, EXE- og PowerShell-scripts, der udfører en DLL-fil i adresserummet i PowerShell-processen. Fjernserveren til truslen blev oprettet ved hjælp af .NET framework og køres på en ekstern Linux-vært.

Lizar Backdoor-plugins kan udføre en bred vifte af skadelige handlinger, herunder levering og udførelse af yderligere malware-nyttelast såsom Mimikatz eller Carbanak RAT. Desuden kan trusselsaktøren få adgang til og exfiltrere oplysninger, tage vilkårlige skærmbilleder, høste legitimationsoplysninger, indsamle browserhistorik og mere. Inden data leveres til fjernserveren, krypteres de på en sessionsnøgle på mellem 5 og 15 byte og derefter igen på en nøgle, der findes i konfigurationen. Hvis den angivne nøgle ikke matcher den på serveren, overføres ingen data.