Potrebbe esserci una backdoor all’interno di un tool per penetration test?

Redazione RHC : 17 Maggio 2021 07:00

Siamo alle solite. L’inventiva dei criminali informatici è sempre un passo avanti rispetto a chi difende le organizzazioni.

Questa volta, la famigerata cyber-gang FIN7, un gruppo di criminali informatici motivato finanziariamente, sta diffondendo una backdoor chiamata Lizar con la scusa di essere uno strumento di test di sicurezza per Windows per gli hacker etici.

Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AI Vuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro. Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta RHC attraverso:   L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Secondo il BI.ZONE Cyber ​​Threats Research Team, FIN7 finge di essere un’organizzazione legittima che propone uno strumento di analisi della sicurezza. Fanno di tutto per essere verosimili, hanno detto i ricercatori:

“Questi gruppi assumono dipendenti che non sono nemmeno consapevoli di lavorare con malware reale o che il loro datore di lavoro è un vero gruppo criminale”.

Dal 2015, FIN7 ha mirato a sistemi di punti vendita presso ristoranti casual, casinò e hotel.

Il gruppo utilizza in genere attacchi di phishing contenenti malware contro le vittime nella speranza che siano in grado di infiltrarsi nei sistemi per rubare i dati delle carte di credito e poi venderli nelle nderground.

Dal 2020, il gruppo ha prodotto anche ransomware capaci di esfiltrare i dati, selezionando attentamente gli obiettivi in ​​base alle entrate utilizzando il servizio ZoomInfo, hanno osservato i ricercatori.

Il toolkit Lizar è strutturalmente simile a Carbanak, hanno detto i ricercatori. Consiste in un software modulare con vari plugin che vengono utilizzati per diverse attività. Insieme vengono eseguiti su un sistema infetto e possono essere combinati nel client bot Lizar, che a sua volta comunica con un server remoto C2C.

“L’architettura modulare del bot lo rende scalabile e consente lo sviluppo indipendente di tutti i componenti”

Secondo l’analisi.

“Abbiamo rilevato tre tipi di bot: DLL, EXE e script di PowerShell, che eseguono una DLL nello spazio degli indirizzi del processo di PowerShell.”

I plugin vengono inviati dal server al loader e vengono eseguiti quando una determinata azione viene eseguita nell’applicazione client Lizar, secondo BI.ZONE.

I plugin sono progettati per caricare altri strumenti come Mimikatz o Carbanak, recuperare informazioni dalla macchina vittima, acquisire schermate, raccogliere credenziali, recuperare le cronologie del browser e altro ancora.

I comandi bot specifici sono i seguenti:

1. Command Line: ottieni CMD sul sistema infetto;
2. Executer: avvia un modulo aggiuntivo;
3. Grabber: esegui uno dei plugin che raccolgono le password nei browser, Remote Desktop Protocol e sistema operativo Windows;
4. Info: recupera le informazioni sul sistema;
5. Jump to: migra il caricatore in un altro processo;
6. Kill: interrompi il plugin;
7. LIst Process: ottieni un elenco di processi;
8. Mimikatz: esegui Mimikatz;
9. Network analysis: esegui uno dei plug-in per recuperare Active Directory e le informazioni di rete;
10. New Session: crea un’altra sessione del caricatore (esegui una copia del caricatore sul sistema infetto);
11. Rat : esegui Carbanak; e
12. Screenshot: fai gli screenshot del video.

L’applicazione server Lizar, nel frattempo, è scritta utilizzando il framework .NET e viene eseguita su un host Linux remoto, hanno detto i ricercatori. Supporta comunicazioni crittografate con il client bot.

“Prima di essere inviati al server, i dati vengono crittografati su una chiave di sessione con una lunghezza compresa tra 5 e 15 byte e quindi sulla chiave specificata nella configurazione (31 byte)”

hanno spiegato i ricercatori

“Se la chiave specificata nella configurazione (31 byte) non corrisponde alla chiave sul server, nessun dato viene inviato dal server.”

Fonte

https://threatpost.com/fin7-backdoor-ethical-hacking-tool/166194/

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli