Lizar Backdoor

Une opération de phishing complexe délivre une nouvelle menace de porte dérobée sophistiquée appelée Lizar. La campagne serait menée par le groupe cybercriminel FIN7 à motivation financière. Les pirates se font passer pour une organisation légitime qui propose un outil de test de pénétration de Windows destiné aux pirates moralement conscients. Cependant, au lieu de cela, les victimes ciblées sont infectées par le malware Lizar qui donne à l'acteur menaçant le contrôle de l'ordinateur compromis et la possibilité de se déplacer latéralement à l'intérieur du réseau de l'organisation. Les pirates informatiques de FIN7 ont déployé des efforts considérables pour se faire passer pour aussi légitimes que possible, même en embauchant des employés qui sont tenus dans l'ignorance du fait qu'ils sont utilisés pour promouvoir et diffuser une véritable menace de malware, selon les conclusions de la BI. Équipe de recherche sur les cybermenaces de la ZONE.

Fonctionnalité de la porte dérobée Lizar

La fonctionnalité principale de Lizar Backdoor est l'exfiltration des données des ordinateurs infectés et se propage à d'autres appareils connectés au réseau interne de la victime. Le malware montre des signes de développement actif et toujours en cours de test. Même à ce stade, la porte dérobée Lizar est suffisamment puissante pour avoir été déployée dans de multiples attaques contre des cibles situées dans plusieurs pays. La plupart des victimes venaient des États-Unis et comprenaient des établissements d'enseignement, des sociétés pharmaceutiques et une organisation de jeux de hasard. Le Lizar Backdoor a également été mis à profit contre une société informatique basée en Allemagne et une organisation financière du Panama.

La structure de la porte dérobée Lizar

Structurellement, la porte dérobée Lizar semble être basée sur le Carbanak RAT, l'outil de menace le plus couramment déployé de FIN7. Lizar se compose d'un segment de chargeur et de nombreux plugins, chacun responsable d'une tâche différente. Tous les composants qui s'exécutent sur la machine compromise peuvent être combinés dans un client bot qui assure la communication avec le serveur distant. La structure modulaire du malware permet au pirate de le mettre à l'échelle et de le modeler en fonction de ses besoins particuliers, car chaque plugin peut être développé séparément. Jusqu'à présent, trois types de bots clients ont été observés: les scripts DLL, EXE et PowerShell qui exécutent une DLL dans l'espace d'adressage du processus PowerShell. Le serveur distant de la menace a été créé à l'aide du framework .NET et est exécuté sur un hôte Linux distant.

Les plugins Lizar Backdoor peuvent effectuer un large éventail d'actions nuisibles, y compris la livraison et l'exécution de charges utiles de logiciels malveillants supplémentaires telles que Mimikatz ou le Carbanak RAT. En outre, l'acteur de la menace peut accéder aux informations et les exfiltrer, prendre des captures d'écran arbitraires, collecter des informations d'identification, collecter des historiques de navigateur, etc. Avant que des données ne soient livrées au serveur distant, elles sont chiffrées sur une clé de session de 5 à 15 octets de long, puis à nouveau sur une clé trouvée dans la configuration. Si la clé spécifiée ne correspond pas à celle du serveur, aucune donnée ne sera transférée.