FIN7后門工具偽裝成白帽工具進行傳播
臭名昭著的FIN7犯罪團伙是一個網絡金融犯罪團伙,他們利用白帽黑客所使用的Windows測試工具進行傳播一個名為Lizar的后門工具。
據BI.ZONE網絡威脅研究小組稱,FIN7首先會偽裝成一個合法的組織,售賣一種安全分析工具。研究人員說:"這些團伙雇用的員工甚至不知道他們使用的就是一個惡意軟件,也不知道他們的雇主是一個的犯罪集團。"
自2015年以來,FIN7將攻擊目標鎖定在了休閑餐廳、賭場和酒店的銷售點系統上。該組織通常使用帶有惡意代碼的釣魚文件攻擊受害者。
讓研究人員感到驚訝的是,該團伙對惡意軟件的使用是在不斷變化的,他們偶爾還會使用一些從未見過的樣本,但他們常用的是Carbanak遠程訪問特洛伊木馬(RAT),以前的分析表明,與其他的木馬相比,它更加復雜和精密,Carbanak通常用于偵查和在網絡上建立一個立足點。
但最近,BI.ZONE的研究人員注意到該組織使用了一種稱為Lizar的新型后門。根據周四發表的一份分析報告,該工具的最新版本從2月份以來就一直在使用,它擁有強大的數據檢索和橫向移動能力。
該公司稱:"Lizar是一個多樣化的復雜的工具箱。它目前仍然處于開發和測試狀態,但它已經被廣泛的用于控制受感染的計算機。 "
迄今為止,受害者就已經包含了美國的一家賭博機構、幾家教育機構和制藥公司、總部設在德國的一家IT公司、巴拿馬的一家金融機構。
FIN7的Lizar工具包詳情
研究人員說,Lizar工具箱在結構上與Carbanak非常相似。它由一個加載器和各種插件組成。它們會一起在受感染的系統上運行,并且還可以組合成Lizar僵尸客戶端,而后者又可以與遠程服務器進行通信。
根據分析,該工具的模塊化架構使得其具有很強的可擴展性,并允許所有組件進行獨立開發。我們已經檢測到了三種攻擊工具。DLLs、EXEs和PowerShell腳本,它們可以在PowerShell進程的地址空間中執行一個DLL。
據BI.ZONE稱,這些插件會從服務器發送到加載器,并在Lizar客戶端應用程序中執行某種操作時被執行。
研究人員說,Lizar服務器應用程序是用.NET框架編寫的,并在遠程Linux主機上運行。
研究人員解釋說:"在發送到服務器之前,數據會在一個長度為5至15字節的會話密鑰上進行加密,然后在配置中使用指定的密鑰(31字節)進行加密。如果配置中指定的密鑰(31個字節)與服務器上的密鑰不匹配,就不會從服務器上接收數據。"
網絡犯罪分子冒充安全研究人員
冒充安全機構,傳播惡意軟件,FIN7并不是第一次使用這種攻擊策略。過去,BI.ZONE曾觀察到它以網絡安全公司Check Point Software或Forcepoint的工具為幌子推送Carbanak工具。
今年早些時候,一個名為Zinc的朝鮮高級持續性威脅組織(APT)與臭名昭著的APT Lazarus,發起了兩次針對安全研究人員的網絡攻擊。
今年1月,該組織通過Twitter和LinkedIn以及Discord和Telegram等其他媒體平臺,利用其精心設計的社會工程學攻擊工具與研究人員成功建立了信任關系,把自己偽裝成是對網絡安全感興趣的研究人員。
具體來說,攻擊者首先會通過詢問研究人員是否愿意一起合作進行漏洞研究。他們通過發布他們所研究的漏洞的視頻來提高自己的可信度。
最終,經過多次交流,攻擊者會向目標研究人員提供一個感染了惡意代碼的Visual Studio項目,該項目還可以在他們的系統上安裝一個后門。受害者也可以通過點擊一個惡意的Twitter鏈接而被感染。
據Google TAG當時稱,在這些攻擊中被感染的安全研究人員運行的是完全打過補丁的最新版本的Windows 10和Chrome瀏覽器,這表明黑客很可能在他們的攻擊中使用了0 day漏洞。
4月,Zinc又開始了攻擊活動,使用了一些相同的社會工程學攻擊策略,同時增加了一個名為 "SecuriElite "的假公司的Twitter和LinkedIn資料,該公司聲稱是一家位于土耳其的安全公司。該公司聲稱會提供軟件安全評估和漏洞測試服務,并聲稱要通過LinkedIn大量招聘網絡安全人員。
本文翻譯自:https://threatpost.com/fin7-backdoor-ethical-hacking-tool/166194/如若轉載,請注明原文地址。
