Lizar Backdoor

En komplex nätfiskeoperation levererar ett nytt sofistikerat bakdörrhot som heter Lizar. Kampanjen tros genomföras av den ekonomiskt motiverade cyberkriminella gruppen FIN7. Hackarna utgör en legitim organisation som erbjuder ett verktyg för Windows-penetrationstest riktat mot moraliskt medvetna hackare. Istället är de riktade offren infekterade med Lizar-skadlig programvara som ger hotaktören kontroll över den komprometterade datorn och förmågan att röra sig i sidled inom organisationens nätverk. FIN7-hackarna har gjort stora ansträngningar för att få sig att se ut så legitima som möjligt, även anställa anställda som hålls i mörkret om att de används för att främja och leverera ett verkligt hot mot skadlig programvara, enligt resultaten från BI. ZONE Cyber Threats Research Team.

Lizar Backdoors funktionalitet

Huvudfunktionaliteten hos Lizar Backdoor är exfiltrering av data från de infekterade datorerna och spridning till andra enheter som är anslutna till offrets interna nätverk. Skadlig programvara visar tecken på att vara under aktiv utveckling och fortfarande testas. Även i detta skede är Lizar Backdoor tillräckligt potent för att ha använts i flera attacker mot mål i flera länder. De flesta offren var från USA och inkluderade utbildningsinstitutioner, läkemedelsföretag och en spelorganisation. Lizar Backdoor har också utnyttjats mot ett IT-företag med huvudkontor i Tyskland och en finansiell organisation från Panama.

Lizars bakdörrstruktur

Strukturellt verkar Lizar Backdoor vara baserad på Carbanak RAT, FIN7: s vanligaste hotande verktyg. Lizar består av ett lastarsegment och många plugins, som var och en ansvarar för en annan uppgift. Alla komponenter som körs på den komprometterade maskinen kan kombineras till en botklient som bär fjärrserverkommunikationen. Den modulära strukturen för skadlig programvara gör det möjligt för hackaren att skala och forma den efter deras speciella behov eftersom varje plugin kan utvecklas separat. Hittills har tre typer av klientbots observerats - DLL-, EXE- och PowerShell-skript som kör en DLL i adressutrymmet i PowerShell-processen. Fjärrservern för hotet skapades med .NET-ramverket och körs på en fjärr Linux-värd.

Lizar Backdoor-plugins kan utföra ett brett spektrum av skadliga åtgärder inklusive leverans och körning av ytterligare skadliga nyttolaster som Mimikatz eller Carbanak RAT. Dessutom kan hotaktören komma åt och exfiltrera information, ta godtyckliga skärmdumpar, skörda referenser, samla in webbläsarhistorik och mer. Innan någon data levereras till fjärrservern krypteras den på en sessionsnyckel mellan 5 och 15 byte lång och sedan igen på en nyckel som finns i konfigurationen. Om den angivna nyckeln inte matchar den på servern överförs inga data.