Группа киберпреступников, стоящая за Carbanak RAT, вернулась с вредоносным ПО Lizar, которое может собирать все виды информации с компьютеров Windows.
Печально известная банда киберпреступников FIN7,распространяет бэкдор под названием Lizar под видом инструмента проверки на проникновение Windows для этичных хакеров.
По данным группы исследования киберугроз BI.ZONE, FIN7 выдает себя за организацию, предлагающую легитимные инструменты анализа информационной безопасности. По словам исследователей, они делают все для правдоподобия: «Эти группы нанимают сотрудников, которые даже не подозревают, что они работают с настоящим вредоносным ПО или что их работодатель является настоящей преступной группой».
С 2015 года FIN7 нацелена на программное обеспечение — ресторанов, казино, отелей. Группа обычно использует вредоносные фишинговые атаки против жертв в надежде, что они смогут проникнуть в системы, чтобы украсть данные банковских карт и продать их. Исследователи отметили, что с 2020 года группа также добавила к своему ассортименту атаки программ-вымогателей, тщательно выбирая цели в соответствии с доходом с помощью службы ZoomInfo.
Выбор вредоносных программ постоянно меняется, в том числе время от времени используются ранее неизвестные образцы. Но их основным инструментарием стал троян удаленного доступа Carbanak (RAT), который, как показывает предыдущий анализ, очень сложен и изощрен по сравнению с аналогами: это, по сути, Cadillac в мире троянов.
Однако в последнее время исследователи BI.ZONE заметили, что группа использует новый тип бэкдора под названием Lizar. Последняя версия используется с февраля и предлагает мощный набор функций поиска данных, согласно анализу, опубликованному ранее .
«Lizar — это разнообразный и сложный инструментарий», — заявляют в компании. «В настоящее время он все еще находится в стадии активной разработки и тестирования, но уже широко используется для контроля зараженных компьютеров, в основном по всей территории Соединенных Штатов».
К настоящему времени жертвами стали игорные заведения, несколько учебных заведений и фармацевтические компании в США, а также ИТ-компания со штаб-квартирой в Германии и финансовое учреждение в Панаме.
Разбор Lizar Toolkit от FIN7
По словам исследователей, инструментарий Lizar структурно похож на Carbanak. Он состоит из загрузчика и различных плагинов, которые используются для разных задач. Вместе они работают в зараженной системе и могут быть объединены в бот-клиент Lizar, который, в свою очередь, обменивается данными с удаленным сервером.
«Модульная архитектура бота делает инструмент масштабируемым и позволяет независимо разрабатывать все компоненты», — говорится в анализе. «Мы обнаружили три вида ботов: DLL, EXE и сценарии PowerShell, которые выполняют DLL в адресном пространстве процесса PowerShell».
Плагины отправляются с сервера на загрузчик и выполняются, когда в клиентском приложении Lizar выполняется определенное действие, согласно BI.ZONE.
Шесть этапов жизненного цикла плагинов следующие:
- Пользователь выбирает команду в интерфейсе клиентского приложения Lizar;
- Сервер Lizar получает информацию о выбранной команде;
- Сервер находит подходящий плагин в каталоге плагинов, затем отправляет его загрузчику;
- Загрузчик запускает плагин и сохраняет результат выполнения плагина в специально выделенной области памяти в куче;
- Сервер получает результаты выполнения плагина и отправляет их клиенту
- Клиентское приложение отображает результаты плагина.
Плагины по-разному разработаны для загрузки других инструментов, таких как Mimikatz или Carbanak, получения информации с машины жертвы, создания снимков экрана, сбора учетных данных, получения истории браузера и многого другого.
Конкретные команды бота следующие:
- Command Line — получить CMD на зараженной системе;
- Executer — запустить дополнительный модуль;
- Grabber — запустить один из плагинов, собирающих пароли в браузерах, протоколе удаленного рабочего стола и ОС Windows;
- Info — получить информацию о системе;
- Jump to — перенести загрузчик в другой процесс;
- Kill — остановить плагин;
- List Processes — получить список процессов;
- Mimikatz — запустить Mimikatz;
- Network analysis — запуск одного из плагинов для получения информации Active Directory и сети;
- New session — создать еще один сеанс загрузчика (запустить копию загрузчика на зараженной системе);
- Rat — запуск Карбанак
- Screenshot — сделать снимок экрана.
Между тем, по словам исследователей, серверное приложение Lizar написано с использованием платформы .NET и работает на удаленном хосте Linux. Он поддерживает шифрованную связь с бот-клиентом.
«Перед отправкой на сервер данные шифруются с помощью сеансового ключа длиной от 5 до 15 байт, а затем ключа, указанного в конфигурации (31 байт)», — пояснили исследователи. «Если ключ, указанный в конфигурации (31 байт), не соответствует ключу на сервере, данные с сервера не отправляются».
Киберпреступники выдают себя за исследователей безопасности
Впечатляющая тактика выдавать себя за службу безопасности, одновременно усиливая небезопасность, не нова даже для FIN7. В прошлом BI.ZONE заметила, что она продвигает Carbanak под видом пакета, являющегося инструментом от приверженцев кибербезопасности Check Point Software или Forcepoint.
Ранее в этом году северокорейская группа продвинутых постоянных угроз (APT) под названием Zinc, которая связана с более печально известным APT Lazarus, организовала две отдельные атаки, нацеленные на исследователей безопасности.
В январе группа использовала тщательно продуманные меры социальной инженерии через Twitter и LinkedIn, а также другие медиа-платформы, такие как Discord и Telegram, чтобы установить доверительные отношения с исследователями, представившись законными исследователями, заинтересованными в наступательной безопасности.
В частности, злоумышленники инициировали контакт, спросив исследователей, хотят ли они совместно исследовать уязвимости. Они продемонстрировали свою надежность, разместив видеоролики с эксплойтами, над которыми они работали, в том числе имитируя успех рабочего эксплойта для существующей исправленной уязвимости Защитника Windows, которая использовалась в рамках масштабной атаки SolarWinds.
В конце концов, после долгой переписки злоумышленники предоставили целевым исследователям проект Visual Studio, зараженный вредоносным кодом, который мог установить бэкдор в их систему. Жертвы также могли заразиться, перейдя по вредоносной ссылке в Twitter.
По данным Google TAG, исследователи безопасности, зараженные этими атаками, использовали полностью исправленные и современные версии браузера Windows 10 и Chrome, что свидетельствовало о том, что хакеры, вероятно, использовали уязвимости нулевого дня в своей кампании.
Zinc вернулся к этому в апреле , использовав ту же тактику в социальных сетях, но добавив профили в Twitter и LinkedIn для поддельной компании под названием «SecuriElite», которая якобы была атакующей охранной фирмой, расположенной в Турции. Компания заявила, что предлагает тесты на проникновение, оценку безопасности программного обеспечения и эксплойты, и намеревалась активно нанимать персонал по кибербезопасности через LinkedIn.