Lizar Backdoor
Een complexe phishing-operatie levert een nieuwe geavanceerde achterdeurdreiging op, genaamd Lizar. Aangenomen wordt dat de campagne wordt uitgevoerd door de financieel gemotiveerde FIN7 cybercriminele groep. De hackers doen zich voor als een legitieme organisatie die een Windows-penetratietesttool aanbiedt die gericht is op moreel bewuste hackers. In plaats daarvan worden de beoogde slachtoffers echter geïnfecteerd met de Lizar-malware die de bedreigingsacteur controle geeft over de gecompromitteerde computer en de mogelijkheid geeft om lateraal binnen het netwerk van de organisatie te bewegen. De FIN7-hackers hebben uitgebreide inspanningen geleverd om zichzelf zo legitiem mogelijk te laten lijken, en hebben zelfs werknemers aangenomen die in het duister worden gehouden over het feit dat ze worden gebruikt om een echte malwarebedreiging te promoten en af te leveren, aldus de bevindingen van de BI. ZONE Cyber Threats Research Team.
De functionaliteit van de Lizar Backdoor
De belangrijkste functionaliteit van de Lizar Backdoor is het exfiltreren van gegevens van de geïnfecteerde computers en zichzelf verspreiden naar andere apparaten die zijn aangesloten op het interne netwerk van het slachtoffer. De malware vertoont tekenen van actieve ontwikkeling en wordt nog steeds getest. Zelfs in dit stadium is de Lizar Backdoor krachtig genoeg om te zijn ingezet bij meerdere aanvallen op doelen in verschillende landen. De meeste slachtoffers waren afkomstig uit de VS, waaronder onderwijsinstellingen, farmaceutische bedrijven en een gokorganisatie. De Lizar Backdoor is ook ingezet tegen een IT-bedrijf met het hoofdkantoor in Duitsland en een financiële organisatie uit Panama.
De structuur van de Lizar Backdoor
Structureel gezien lijkt de Lizar Backdoor gebaseerd te zijn op de Carbanak RAT, FIN7's meest gebruikte dreigingstool. Lizar bestaat uit een ladersegment en talloze plug-ins, elk verantwoordelijk voor een andere taak. Alle componenten die op de gecompromitteerde machine worden uitgevoerd, kunnen worden gecombineerd tot een botclient die de externe servercommunicatie draagt. De modulaire structuur van de malware stelt de hacker in staat deze op te schalen en vorm te geven aan hun specifieke behoeften, aangezien elke plug-in afzonderlijk kan worden ontwikkeld. Tot nu toe zijn er drie soorten clientbots waargenomen: DLL-, EXE- en PowerShell-scripts die een DLL uitvoeren in de adresruimte van het PowerShell-proces. De externe server voor de dreiging is gemaakt met behulp van het .NET-framework en wordt uitgevoerd op een externe Linux-host.
De Lizar Backdoor-plug-ins kunnen een breed scala aan schadelijke acties uitvoeren, waaronder de levering en uitvoering van extra malware-payloads zoals Mimikatz of de Carbanak RAT. Bovendien kan de bedreigingsacteur toegang krijgen tot informatie en deze exfiltreren, willekeurige schermafbeeldingen maken, inloggegevens verzamelen, browsergeschiedenis verzamelen en meer. Voordat er gegevens worden afgeleverd bij de externe server, worden deze versleuteld met een sessiesleutel van tussen de 5 en 15 bytes en vervolgens opnieuw met een sleutel die in de configuratie wordt aangetroffen. Als de opgegeven sleutel niet overeenkomt met die op de server, worden er geen gegevens overgedragen.
