臭名昭著的FIN7犯罪团伙是一个网络金融犯罪团伙。他们利用白帽黑客使用的Windows测试工具传播一个名为Lizar的后门工具。据BI.ZONE网络威胁研究组称,FIN7首先会伪装成合法组织,出售一款安全分析工具。研究人员说:“这些团伙雇佣的员工甚至不知道他们正在使用恶意软件,或者他们的雇主是一个成熟的犯罪集团。”自2015年以来,FIN7瞄准了休闲餐厅、赌场等。以及酒店的销售点系统。该组织通常以加载了恶意代码的网络钓鱼文件为目标。令研究人员感到意外的是,该组织对恶意软件的使用变化多端,他们偶尔会使用从未见过的样本,但他们经常使用Carbanak远程访问木马(RAT),前者分析表明它比以前更复杂、更精密与其他木马相比,Carbanak通常用于侦察和在网络上建立立足点。但最近,BI.ZONE的研究人员注意到该组织使用了一种名为Lizar的新型后门。根据周四发布的一项分析,该工具的最新版本自2月以来一直在使用,具有强大的数据检索和横向移动功能。“Lizar是一个多样化和复杂的工具箱。它仍在开发和测试中,但它已被广泛用于控制受感染的计算机,”该公司表示。到目前为止,受害者包括美国的一家赌博机构、几家教育机构和制药公司、一家总部位于德国的IT公司以及一家位于巴拿马的金融机构。FIN7的Lizar工具包细节研究人员表示,Lizar工具包在结构上与Carbanak非常相似。它由一个加载器和各种插件组成。它们一起在受感染的系统上运行,也可以组合成Lizar僵尸客户端,后者可以与远程服务器通信。据分析,该工具的模块化架构使其具有高度的可扩展性,并允许所有组件独立开发。我们检测到三种攻击工具。在PowerShell进程的地址空间中执行DLL的DLL、EXE和PowerShell脚本。根据BI.ZONE,这些插件从服务器发送到加载程序,并在Lizar客户端应用程序中执行操作时执行。研究人员说,Lizar服务器应用程序是用.NET框架编写的,并在远程Linux主机上运行。"在发送到服务器之前,数据在长度为5到15字节的会话密钥上加密,然后使用配置中指定的密钥(31字节)加密。如??果配置如果密钥(31字节)指定文件中的密钥与服务器上的密钥不匹配,将不会从服务器接收到任何数据。”网络犯罪分子冒充安全研究人员冒充安全机构传播恶意软件,FIN7并不是第一次使用这种攻击策略。过去,BI.ZONE观察到它以网络安全公司CheckPointSoftware或Forcepoint的工具为幌子推广Carbanak工具。今年早些时候,一个名为Zinc的朝鲜高级持续威胁组织(APT)和臭名昭著的APTLazarus发起了两次针对安全研究人员的网络攻击。今年1月,该组织利用其精心设计的社会工程攻击工具,通过Twitter和LinkedIn,以及Discord和Telegram等其他媒体平台,成功与研究人员建立信任关系,并伪装成对研究感兴趣的研究人员。网络安全。人员。具体来说,攻击者首先会询问研究人员是否愿意合作进行漏洞研究。他们通过发布他们研究的漏洞的视频来提高他们的可信度。最终,经过多次交换,攻击者会向目标研究人员提供感染了恶意代码的VisualStudio项目,该项目还可能在他们的系统上安装后门。受害者也可能通过点击恶意Twitter链接而被感染。根据谷歌TAG当时的说法,在这些攻击中感染的安全研究人员正在运行最新版本的Windows10和Chrome浏览器的完整补丁版本,这表明黑客很可能在他们的攻击中使用了零日漏洞。4月,Zinc再次开始其活动,使用一些相同的社会工程攻击策略,同时添加一家名为“SecuriElite”的假冒公司的Twitter和LinkedIn个人资料,该公司声称是一家总部位于土耳其的安全公司。该公司声称提供软件安全评估和漏洞测试服务,并声称通过LinkedIn招聘大量网络安全人员。本文翻译自:https://threatpost.com/fin7-backdoor-ethical-hacking-tool/166194/如有转载请注明出处。
