Lizar後門

複雜的網絡釣魚操作正在提供一種稱為Lizar的新的複雜後門威脅。該活動被認為是由有財務動機的FIN7網絡犯罪組織進行的。黑客冒充一個合法組織，該組織提供針對道德意識強的黑客的Windows滲透測試工具。但是，相反，目標受害者感染了Lizar惡意軟件，該惡意軟件使威脅參與者可以控制受感染計算機，並可以在組織網絡內部橫向移動。根據BI的調查結果，FIN7黑客已經做出了巨大的努力，以使自己看起來盡可能合法，甚至僱用了對他們被用來促進和傳遞真正的惡意軟件威脅這一事實一無所知的員工。區域網絡威脅研究團隊。

Lizar後門的功能

Lizar後門的主要功能是從受感染的計算機中滲出數據，並將其自身傳播到連接到受害人內部網絡的其他設備。該惡意軟件顯示出正在積極開發且仍在測試中的跡象。即使在此階段，" Lizar後門"的效能也足以部署在針對多個國家的目標的多次攻擊中。大多數受害者來自美國，其中包括教育機構，製藥公司和賭博組織。 Lizar Backdoor還利用了總部位於德國的IT公司和來自巴拿馬的金融組織。

Lizar後門的結構

從結構上講，Lizar後門似乎基於FIN7最常用的威脅工具Carbanak RAT。 Lizar由一個加載程序段和許多插件組成，每個插件負責一個不同的任務。可以將受感染計算機上運行的所有組件組合到一個進行遠程服務器通信的bot客戶端中。由於每個插件都可以單獨開發，因此惡意軟件的模塊化結構使黑客可以根據他們的特殊需求對其進行擴展和建模。到目前為止，已經觀察到三種類型的客戶端機器人：DLL，EXE和在PowerShell進程的地址空間中執行DLL的PowerShell腳本。用於威脅的遠程服務器是使用.NET框架創建的，並在遠程Linux主機上運行。

Lizar後門插件可以執行各種有害操作，包括傳遞和執行其他惡意軟件有效負載，例如Mimikatz或Carbanak RAT。此外，威脅參與者可以訪問和洩露信息，獲取任意屏幕截圖，收集憑據，收集瀏覽器歷史記錄等等。在將任何數據傳遞到遠程服務器之前，將使用長度在5到15個字節之間的會話密鑰對數據進行加密，然後再使用配置中找到的密鑰對數據進行加密。如果指定的密鑰與服務器上的密鑰不匹配，則不會傳輸任何數據。