Lizar Backdoor

Karmaşık bir kimlik avı operasyonu, Lizar adlı yeni ve karmaşık bir arka kapı tehdidi sağlıyor. Kampanyanın mali motivasyonlu FIN7 siber suçlu grubu tarafından yürütüldüğüne inanılıyor. Bilgisayar korsanları, ahlaki açıdan bilinçli bilgisayar korsanlarına yönelik bir Windows sızma testi aracı sunan meşru bir kuruluş olarak görünmektedir. Ancak bunun yerine, hedeflenen kurbanlara, tehdit aktörüne tehlikeye atılan bilgisayar üzerinde kontrol ve kuruluşun ağı içinde yanal olarak hareket etme yeteneği veren Lizar kötü amaçlı yazılım bulaşmıştır. BI'nin bulgularına göre FIN7 bilgisayar korsanları, kendilerini olabildiğince meşru göstermek, hatta gerçek bir kötü amaçlı yazılım tehdidini teşvik etmek ve sunmak için kullanıldıkları gerçeği konusunda karanlıkta tutulan çalışanları işe almak için yoğun çaba sarf ettiler. ZONE Siber Tehditler Araştırma Ekibi.

Kertenkele Arka Kapısının İşlevselliği

Lizar Arka Kapısının ana işlevi, virüs bulaşmış bilgisayarlardan verilerin dışarı sızması ve kendisini kurbanın dahili ağına bağlı diğer cihazlara yaymasıdır. Kötü amaçlı yazılım, aktif geliştirme aşamasında olduğuna ve hala test ediliyor olduğuna dair işaretler gösteriyor. Bu aşamada bile, Lizar Backdoor birkaç ülkede bulunan hedeflere yönelik çoklu saldırılarda konuşlandırılacak kadar güçlüdür. Kurbanların çoğu ABD'dendi ve eğitim kurumları, ilaç şirketleri ve bir kumar organizasyonunu içeriyordu. Lizar Backdoor ayrıca, merkezi Almanya'da bulunan bir BT şirketine ve Panama'dan bir finans kuruluşuna karşı da desteklendi.

Kertenkele Arka Kapısının Yapısı

Yapısal olarak, Lizar Backdoor, FIN7'nin en yaygın kullanılan tehdit aracı olan Carbanak RAT'a dayanıyor gibi görünüyor. Lizar, her biri farklı bir görevden sorumlu olan bir yükleyici bölümünden ve çok sayıda eklentiden oluşur. Güvenliği ihlal edilen makinede çalışan tüm bileşenler, uzak sunucu iletişimini taşıyan bir bot istemcisinde birleştirilebilir. Kötü amaçlı yazılımın modüler yapısı, her bir eklenti ayrı ayrı geliştirilebildiğinden, bilgisayar korsanının kendi özel ihtiyaçlarına göre ölçeklendirmesine ve biçimlendirmesine olanak tanır. Şimdiye kadar, PowerShell işleminin adres alanında bir DLL yürüten DLL, EXE ve PowerShell Komut Dosyaları olmak üzere üç tür istemci botu gözlemlendi. Tehdit için uzak sunucu .NET çerçevesi kullanılarak oluşturuldu ve uzak bir Linux ana bilgisayarında çalıştırıldı.

Lizar Backdoor eklentileri, Mimikatz veya Carbanak RAT gibi ek kötü amaçlı yazılım yüklerinin teslimi ve yürütülmesi dahil olmak üzere çok çeşitli zararlı eylemler gerçekleştirebilir. Ayrıca, tehdit aktörü bilgilere erişebilir ve bilgi sızdırabilir, rastgele ekran görüntüleri alabilir, kimlik bilgilerini toplayabilir, tarayıcı geçmişlerini toplayabilir ve daha fazlasını yapabilir. Herhangi bir veri uzak sunucuya teslim edilmeden önce, 5 ile 15 bayt uzunluğundaki bir oturum anahtarında ve ardından yapılandırmada bulunan bir anahtarda şifrelenir. Belirtilen anahtar sunucudakiyle eşleşmezse, hiçbir veri aktarılmaz.