Potrebbe esserci una backdoor all'interno di un tool per penetration test?


Siamo alle solite. L'inventiva dei criminali informatici è sempre un passo avanti rispetto a chi difende le organizzazioni.


Questa volta, la famigerata cyber-gang FIN7, un gruppo di criminali informatici motivato finanziariamente, sta diffondendo una backdoor chiamata Lizar con la scusa di essere uno strumento di test di sicurezza per Windows per gli hacker etici.



Secondo il BI.ZONE Cyber ​​Threats Research Team, FIN7 finge di essere un'organizzazione legittima che propone uno strumento di analisi della sicurezza. Fanno di tutto per essere verosimili, hanno detto i ricercatori:

"Questi gruppi assumono dipendenti che non sono nemmeno consapevoli di lavorare con malware reale o che il loro datore di lavoro è un vero gruppo criminale".

Dal 2015, FIN7 ha mirato a sistemi di punti vendita presso ristoranti casual, casinò e hotel.


Il gruppo utilizza in genere attacchi di phishing contenenti malware contro le vittime nella speranza che siano in grado di infiltrarsi nei sistemi per rubare i dati delle carte di credito e poi venderli nelle nderground.


Dal 2020, il gruppo ha prodotto anche ransomware capaci di esfiltrare i dati, selezionando attentamente gli obiettivi in ​​base alle entrate utilizzando il servizio ZoomInfo, hanno osservato i ricercatori.



Il toolkit Lizar è strutturalmente simile a Carbanak, hanno detto i ricercatori. Consiste in un software modulare con vari plugin che vengono utilizzati per diverse attività. Insieme vengono eseguiti su un sistema infetto e possono essere combinati nel client bot Lizar, che a sua volta comunica con un server remoto C2C.

"L'architettura modulare del bot lo rende scalabile e consente lo sviluppo indipendente di tutti i componenti"

Secondo l'analisi.

"Abbiamo rilevato tre tipi di bot: DLL, EXE e script di PowerShell, che eseguono una DLL nello spazio degli indirizzi del processo di PowerShell."

I plugin vengono inviati dal server al loader e vengono eseguiti quando una determinata azione viene eseguita nell'applicazione client Lizar, secondo BI.ZONE.



I plugin sono progettati per caricare altri strumenti come Mimikatz o Carbanak, recuperare informazioni dalla macchina vittima, acquisire schermate, raccogliere credenziali, recuperare le cronologie del browser e altro ancora.


I comandi bot specifici sono i seguenti:


  1. Command Line: ottieni CMD sul sistema infetto;

  2. Executer: avvia un modulo aggiuntivo;

  3. Grabber: esegui uno dei plugin che raccolgono le password nei browser, Remote Desktop Protocol e sistema operativo Windows;

  4. Info: recupera le informazioni sul sistema;

  5. Jump to: migra il caricatore in un altro processo;

  6. Kill: interrompi il plugin;

  7. LIst Process: ottieni un elenco di processi;

  8. Mimikatz: esegui Mimikatz;

  9. Network analysis: esegui uno dei plug-in per recuperare Active Directory e le informazioni di rete;

  10. New Session: crea un'altra sessione del caricatore (esegui una copia del caricatore sul sistema infetto);

  11. Rat : esegui Carbanak; e

  12. Screenshot: fai gli screenshot del video.



L'applicazione server Lizar, nel frattempo, è scritta utilizzando il framework .NET e viene eseguita su un host Linux remoto, hanno detto i ricercatori. Supporta comunicazioni crittografate con il client bot.

"Prima di essere inviati al server, i dati vengono crittografati su una chiave di sessione con una lunghezza compresa tra 5 e 15 byte e quindi sulla chiave specificata nella configurazione (31 byte)"

hanno spiegato i ricercatori

"Se la chiave specificata nella configurazione (31 byte) non corrisponde alla chiave sul server, nessun dato viene inviato dal server."

Fonte

https://threatpost.com/fin7-backdoor-ethical-hacking-tool/166194/