Lizar Backdoor
Ein komplexer Phishing-Vorgang liefert eine neue hochentwickelte Backdoor-Bedrohung namens Lizar. Es wird angenommen, dass die Kampagne von der finanziell motivierten FIN7- Cyberkriminellengruppe durchgeführt wird. Die Hacker stellen sich als legitime Organisation dar, die ein Windows-Penetrationstest-Tool anbietet, das auf moralisch bewusste Hacker ausgerichtet ist. Stattdessen sind die betroffenen Opfer jedoch mit der Lizar-Malware infiziert, die dem Bedrohungsakteur die Kontrolle über den gefährdeten Computer und die Möglichkeit gibt, sich seitlich innerhalb des Unternehmensnetzwerks zu bewegen. Die FIN7-Hacker haben umfangreiche Anstrengungen unternommen, um sich so legitim wie möglich zu machen, und sogar Mitarbeiter eingestellt, die nach Angaben des BI im Dunkeln darüber bleiben, dass sie zur Förderung und Bereitstellung einer echten Malware-Bedrohung eingesetzt werden, laut ZONE Cyber Threats Research Team.
Die Funktionalität der Lizar Backdoor
Die Hauptfunktionalität der Lizar Backdoor ist die Exfiltration von Daten von den infizierten Computern und deren Verbreitung auf andere Geräte, die mit dem internen Netzwerk des Opfers verbunden sind. Die Malware weist Anzeichen dafür auf, dass sie sich in der aktiven Entwicklung befindet und noch getestet wird. Selbst zu diesem Zeitpunkt ist die Lizar Backdoor stark genug, um bei mehreren Angriffen gegen Ziele in mehreren Ländern eingesetzt zu werden. Die meisten Opfer stammten aus den USA, darunter Bildungseinrichtungen, Pharmaunternehmen und eine Glücksspielorganisation. Die Lizar Backdoor wurde auch gegen ein IT-Unternehmen mit Hauptsitz in Deutschland und eine Finanzorganisation aus Panama eingesetzt.
Die Struktur der Lizar Backdoor
Strukturell scheint die Lizar Backdoor auf der Carbanak RAT zu basieren, dem am häufigsten eingesetzten Bedrohungswerkzeug von FIN7. Lizar besteht aus einem Loader-Segment und zahlreichen Plugins, die jeweils für eine andere Aufgabe verantwortlich sind. Alle Komponenten, die auf dem gefährdeten Computer ausgeführt werden, können zu einem Bot-Client kombiniert werden, der die Remote-Server-Kommunikation überträgt. Der modulare Aufbau der Malware ermöglicht es dem Hacker, sie entsprechend ihren speziellen Anforderungen zu skalieren und zu formen, da jedes Plugin separat entwickelt werden kann. Bisher wurden drei Arten von Client-Bots beobachtet: DLL-, EXE- und PowerShell-Skripte, die eine DLL im Adressraum des PowerShell-Prozesses ausführen. Der Remoteserver für die Bedrohung wurde mit dem .NET Framework erstellt und wird auf einem Remote-Linux-Host ausgeführt.
Die Lizar Backdoor-Plugins können eine Vielzahl schädlicher Aktionen ausführen, einschließlich der Bereitstellung und Ausführung zusätzlicher Malware-Nutzdaten wie Mimikatz oder Carbanak RAT. Darüber hinaus kann der Bedrohungsakteur auf Informationen zugreifen und diese filtern, beliebige Screenshots erstellen, Anmeldeinformationen sammeln, Browserverläufe sammeln und vieles mehr. Bevor Daten an den Remote-Server übermittelt werden, werden sie mit einem Sitzungsschlüssel zwischen 5 und 15 Byte und anschließend mit einem in der Konfiguration gefundenen Schlüssel verschlüsselt. Wenn der angegebene Schlüssel nicht mit dem auf dem Server übereinstimmt, werden keine Daten übertragen.
