Лизар Бэкдор

Сложная фишинговая операция порождает новую изощренную бэкдор-угрозу под названием Lizar. Предполагается, что кампанию проводит финансово мотивированная киберпреступная группа FIN7. Хакеры выдают себя за законную организацию, предлагающую инструмент тестирования на проникновение Windows, ориентированный на морально сознательных хакеров. Однако вместо этого целевые жертвы заражаются вредоносной программой Lizar, которая дает злоумышленнику контроль над скомпрометированным компьютером и возможность перемещаться по сети организации. Согласно выводам BI, хакеры FIN7 приложили огромные усилия, чтобы выглядеть как можно более легитимными, даже нанимая сотрудников, которые не знают, что они используются для продвижения и распространения реальной угрозы вредоносного ПО. Группа исследования киберугроз ZONE.

Функционал Lizar Backdoor

Основная функция Lizar Backdoor - это кража данных с зараженных компьютеров и их распространение на другие устройства, подключенные к внутренней сети жертвы. Вредоносная программа показывает признаки того, что она находится в стадии активной разработки и все еще проходит тестирование. Даже на этом этапе Lizar Backdoor достаточно эффективен, чтобы его можно было использовать для нескольких атак против целей, расположенных в нескольких странах. Большинство жертв были из США, включая образовательные учреждения, фармацевтические компании и игорные организации. Lizar Backdoor также использовался против ИТ-компании со штаб-квартирой в Германии и финансовой организации из Панамы.

Структура бэкдора Lizar

Структурно Lizar Backdoor, похоже, основан на Carbanak RAT , наиболее часто используемом угрожающем инструменте FIN7. Lizar состоит из сегмента загрузчика и множества плагинов, каждый из которых отвечает за свою задачу. Все компоненты, которые работают на скомпрометированной машине, могут быть объединены в бот-клиент, который осуществляет обмен данными с удаленным сервером. Модульная структура вредоносного ПО позволяет хакеру масштабировать и формировать его в соответствии со своими конкретными потребностями, поскольку каждый плагин может разрабатываться отдельно. До сих пор наблюдались три типа клиентских ботов - DLL, EXE и сценарии PowerShell, которые выполняют DLL в адресном пространстве процесса PowerShell. Удаленный сервер для угрозы был создан с использованием платформы .NET и запущен на удаленном хосте Linux.

Плагины Lizar Backdoor могут выполнять широкий спектр вредоносных действий, включая доставку и выполнение дополнительных вредоносных программ, таких как Mimikatz или Carbanak RAT. Кроме того, злоумышленник может получать доступ к информации и извлекать ее, делать произвольные снимки экрана, собирать учетные данные, собирать историю браузера и многое другое. Прежде чем какие-либо данные будут доставлены на удаленный сервер, они шифруются с помощью сеансового ключа длиной от 5 до 15 байтов, а затем снова с помощью ключа, найденного в конфигурации. Если указанный ключ не совпадает с ключом на сервере, данные не будут переданы.