Lizar Backdoor

Una complessa operazione di phishing sta fornendo una nuova sofisticata minaccia backdoor chiamata Lizar. Si ritiene che la campagna sia condotta dal gruppo di criminali informatici FIN7 motivato dal punto di vista finanziario. Gli hacker si atteggiano a un'organizzazione legittima che offre uno strumento di test di penetrazione di Windows orientato agli hacker moralmente consapevoli. Tuttavia, invece, le vittime mirate vengono infettate dal malware Lizar che fornisce all'attore della minaccia il controllo sul computer compromesso e la possibilità di spostarsi lateralmente all'interno della rete dell'organizzazione. Secondo i risultati della BI, gli hacker di FIN7 hanno compiuto notevoli sforzi per apparire il più legittimi possibile, anche assumendo dipendenti tenuti all'oscuro del fatto che sono utilizzati per promuovere e distribuire una vera minaccia malware. ZONE Team di ricerca sulle minacce informatiche.

Funzionalità della backdoor di Lizar

La funzionalità principale di Lizar Backdoor è l'esfiltrazione di dati dai computer infetti e la diffusione ad altri dispositivi collegati alla rete interna della vittima. Il malware mostra segni di sviluppo attivo e ancora in fase di test. Anche in questa fase, il Lizar Backdoor è abbastanza potente da essere stato schierato in più attacchi contro obiettivi situati in diversi paesi. La maggior parte delle vittime proveniva dagli Stati Uniti e comprendeva istituti di istruzione, società farmaceutiche e un'organizzazione di gioco d'azzardo. Lizar Backdoor è stato utilizzato anche contro una società IT con sede in Germania e un'organizzazione finanziaria di Panama.

La struttura della backdoor di Lizar

Strutturalmente, Lizar Backdoor sembra essere basato sul Carbanak RAT, lo strumento minaccioso più comunemente utilizzato da FIN7. Lizar è costituito da un segmento di caricamento e numerosi plug-in, ciascuno responsabile di un'attività diversa. Tutti i componenti che vengono eseguiti sulla macchina compromessa possono essere combinati in un client bot che trasporta la comunicazione del server remoto. La struttura modulare del malware consente all'hacker di ridimensionarlo e modellarlo in base alle proprie esigenze particolari poiché ogni plug-in può essere sviluppato separatamente. Finora, sono stati osservati tre tipi di bot client: DLL, EXE e script di PowerShell che eseguono una DLL nello spazio degli indirizzi del processo di PowerShell. Il server remoto per la minaccia è stato creato utilizzando il framework .NET e viene eseguito su un host Linux remoto.

I plug-in Lizar Backdoor possono eseguire un'ampia gamma di azioni dannose, inclusa la consegna e l'esecuzione di payload aggiuntivi di malware come Mimikatz o Carbanak RAT. Inoltre, l'attore della minaccia può accedere ed estrarre informazioni, acquisire schermate arbitrarie, raccogliere credenziali, raccogliere le cronologie del browser e altro ancora. Prima che i dati vengano consegnati al server remoto, vengono crittografati su una chiave di sessione di lunghezza compresa tra 5 e 15 byte e poi di nuovo su una chiave trovata nella configurazione. Se la chiave specificata non corrisponde a quella sul server, nessun dato verrà trasferito.