Lizar Backdoor
एक जटिल फ़िशिंग ऑपरेशन लिज़र नामक एक नया परिष्कृत पिछले दरवाजे का खतरा दे रहा है। माना जाता है कि यह अभियान आर्थिक रूप से प्रेरित FIN7 साइबर क्रिमिनल ग्रुप द्वारा चलाया जाता है। हैकर्स एक वैध संगठन के रूप में पेश करते हैं जो नैतिक रूप से जागरूक हैकर्स के लिए तैयार एक विंडोज़ प्रवेश परीक्षण उपकरण की पेशकश कर रहा है। हालांकि, इसके बजाय, लक्षित पीड़ित लिज़र मालवेयर से संक्रमित होते हैं जो खतरे वाले अभिनेता को समझौता किए गए कंप्यूटर पर नियंत्रण देता है और संगठन के नेटवर्क के अंदर बाद में स्थानांतरित करने की क्षमता देता है। बीआई के निष्कर्षों के अनुसार, FIN7 हैकर्स ने खुद को यथासंभव वैध दिखाने के लिए व्यापक प्रयास किए हैं, यहां तक कि उन कर्मचारियों को भी काम पर रखा है जिन्हें इस तथ्य के बारे में अंधेरे में रखा गया है कि उनका उपयोग वास्तविक मैलवेयर खतरे को बढ़ावा देने और वितरित करने के लिए किया जाता है। जोन साइबर थ्रेट रिसर्च टीम।
छिपकली पिछले दरवाजे की कार्यक्षमता
लिज़र बैकडोर की मुख्य कार्यक्षमता संक्रमित कंप्यूटरों से डेटा को बाहर निकालना और पीड़ित के आंतरिक नेटवर्क से जुड़े अन्य उपकरणों में खुद को फैलाना है। मैलवेयर सक्रिय विकास के तहत होने और अभी भी परीक्षण के दौर से गुजरने के संकेत दिखाता है। इस स्तर पर भी, छिपकली का पिछला दरवाजा कई देशों में स्थित लक्ष्यों के खिलाफ कई हमलों में तैनात होने के लिए पर्याप्त शक्तिशाली है। पीड़ितों में से अधिकांश अमेरिका से थे और इनमें शैक्षणिक संस्थान, दवा कंपनियां और एक जुआ संगठन शामिल थे। जर्मनी में मुख्यालय वाली एक आईटी कंपनी और पनामा के एक वित्तीय संगठन के खिलाफ लिज़र बैकडोर का भी लाभ उठाया गया है।
छिपकली पिछले दरवाजे की संरचना
संरचनात्मक रूप से, Lizar पिछले दरवाजे के आधार पर प्रतीत होता है Carbanak RAT, FIN7 के सबसे अधिक तैनात धमकी उपकरण। छिपकली में एक लोडर खंड और कई प्लगइन्स होते हैं, जिनमें से प्रत्येक एक अलग कार्य के लिए जिम्मेदार होता है। समझौता किए गए मशीन पर चलने वाले सभी घटकों को एक बॉट क्लाइंट में जोड़ा जा सकता है जो रिमोट सर्वर संचार करता है। मैलवेयर की मॉड्यूलर संरचना हैकर को उनकी विशेष जरूरतों के अनुसार स्केल और मोल्ड करने की अनुमति देती है क्योंकि प्रत्येक प्लगइन को अलग से विकसित किया जा सकता है। अब तक, तीन प्रकार के क्लाइंट बॉट देखे गए हैं - डीएलएल, एक्सई, और पावरशेल स्क्रिप्ट जो पावरशेल प्रक्रिया के एड्रेस स्पेस में डीएलएल निष्पादित करते हैं। खतरे के लिए रिमोट सर्वर .NET ढांचे का उपयोग करके बनाया गया था और यह दूरस्थ लिनक्स होस्ट पर चलाया जाता है।
Lizar Backdoor प्लगइन्स हानिकारक कार्यों की एक विस्तृत श्रृंखला का प्रदर्शन कर सकते हैं, जिसमें अतिरिक्त मैलवेयर पेलोड जैसे Mimikatz या Carbanak RAT की डिलीवरी और निष्पादन शामिल है। इसके अलावा, धमकी देने वाला अभिनेता जानकारी तक पहुंच और उसे बाहर निकाल सकता है, मनमाने ढंग से स्क्रीनशॉट ले सकता है, क्रेडेंशियल काट सकता है, ब्राउज़र इतिहास और बहुत कुछ एकत्र कर सकता है। किसी भी डेटा को दूरस्थ सर्वर तक पहुंचाने से पहले, इसे 5 और 15 बाइट्स के बीच एक सत्र कुंजी पर एन्क्रिप्ट किया जाता है और फिर कॉन्फ़िगरेशन में मिली एक कुंजी पर एन्क्रिप्ट किया जाता है। यदि निर्दिष्ट कुंजी सर्वर पर मौजूद कुंजी से मेल नहीं खाती है, तो कोई डेटा स्थानांतरित नहीं किया जाएगा।
