Lizar Backdoor

Złożona operacja phishingowa dostarcza nowe, wyrafinowane zagrożenie typu backdoor o nazwie Lizar. Uważa się, że kampania jest prowadzona przez zmotywowaną finansowo grupę cyberprzestępczą FIN7. Hakerzy udają legalną organizację, która oferuje narzędzie do testowania penetracji systemu Windows przeznaczone dla hakerów świadomych moralnie. Jednak zamiast tego atakowane ofiary są infekowane złośliwym oprogramowaniem Lizar, które daje hakerowi kontrolę nad zaatakowanym komputerem i możliwość bocznego przemieszczania się w sieci organizacji. Hakerzy z FIN7 dołożyli wszelkich starań, aby wyglądać na tak uzasadnionych, jak to tylko możliwe, nawet zatrudniając pracowników, którzy nie wiedzą, że są wykorzystywani do promowania i dostarczania prawdziwego zagrożenia złośliwym oprogramowaniem, zgodnie z ustaleniami BI. Zespół ZONE Cyber Threats Research.

Funkcjonalność Lizar Backdoor

Główną funkcjonalnością Lizar Backdoor jest eksfiltracja danych z zainfekowanych komputerów i rozprzestrzenianie się na inne urządzenia podłączone do sieci wewnętrznej ofiary. Złośliwe oprogramowanie wykazuje oznaki aktywnego rozwoju i wciąż przechodzi testy. Nawet na tym etapie Lizar Backdoor jest na tyle silny, że mógł zostać użyty w wielu atakach na cele zlokalizowane w kilku krajach. Większość ofiar pochodziła z USA i obejmowały instytucje edukacyjne, firmy farmaceutyczne i organizacje hazardowe. Lizar Backdoor został również wykorzystany przeciwko firmie IT z siedzibą w Niemczech i organizacją finansową z Panamy.

Struktura Lizar Backdoor

Strukturalnie, Lizar Backdoor wydaje się być oparty na Carbanak RAT, najczęściej używanym narzędziu zagrażającym FIN7. Lizar składa się z segmentu modułu ładującego i wielu wtyczek, z których każda odpowiada za inne zadanie. Wszystkie komponenty działające na zaatakowanej maszynie można połączyć w klienta-bota, który przenosi komunikację z serwerem zdalnym. Modułowa struktura złośliwego oprogramowania umożliwia hakerowi skalowanie i formowanie go zgodnie z ich konkretnymi potrzebami, ponieważ każda wtyczka może być rozwijana osobno. Do tej pory zaobserwowano trzy typy botów klienckich - skrypty DLL, EXE i PowerShell, które wykonują bibliotekę DLL w przestrzeni adresowej procesu PowerShell. Serwer zdalny dla zagrożenia został utworzony przy użyciu platformy .NET i jest uruchamiany na zdalnym hoście systemu Linux.

Wtyczki Lizar Backdoor mogą wykonywać szereg szkodliwych działań, w tym dostarczać i uruchamiać dodatkowe ładunki złośliwego oprogramowania, takie jak Mimikatz lub Carbanak RAT. Ponadto osoba atakująca może uzyskać dostęp do informacji i wydobywać je, wykonywać dowolne zrzuty ekranu, zbierać dane uwierzytelniające, gromadzić historię przeglądarek i nie tylko. Zanim jakiekolwiek dane zostaną dostarczone do zdalnego serwera, są one szyfrowane kluczem sesji o długości od 5 do 15 bajtów, a następnie ponownie kluczem znalezionym w konfiguracji. Jeśli określony klucz nie pasuje do klucza na serwerze, żadne dane nie zostaną przesłane.