Lizarバックドア

複雑なフィッシング操作により、Lizarと呼ばれる新しい洗練されたバックドアの脅威がもたらされています。このキャンペーンは、金銭的な動機を持つFIN7サイバー犯罪グループによって実施されたと考えられています。ハッカーは、道徳的に意識のあるハッカーを対象としたWindows侵入テストツールを提供している合法的な組織を装っています。ただし、代わりに、標的となる被害者はLizarマルウェアに感染しており、攻撃者は侵入先のコンピューターを制御し、組織のネットワーク内を横方向に移動することができます。 BIの調査結果によると、FIN7ハッカーは、実際のマルウェアの脅威を促進および配信するために使用されているという事実について暗闇にさらされている従業員を雇用するなど、可能な限り合法的に見えるようにするために多大な努力を払っています。ゾーンサイバー脅威研究チーム。

Lizarバックドアの機能

Lizar Backdoorの主な機能は、感染したコンピューターからデータを抽出し、被害者の内部ネットワークに接続されている他のデバイスに拡散することです。このマルウェアは、活発な開発が行われ、まだテスト中の兆候を示しています。この段階でさえ、Lizar Backdoorは、いくつかの国にあるターゲットに対する複数の攻撃で展開されるのに十分強力です。犠牲者のほとんどは米国出身で、教育機関、製薬会社、ギャンブル組織が含まれていました。 Lizar Backdoorは、ドイツに本社を置くIT企業やパナマの金融機関に対しても活用されています。

リザールバックドアの構造

構造的には、Lizar Backdoorは、FIN7で最も一般的に展開されている脅威ツールであるCarbanakRATに基づいているようです。 Lizarは、ローダーセグメントと多数のプラグインで構成されており、それぞれが異なるタスクを担当します。侵害されたマシンで実行されるすべてのコンポーネントを組み合わせて、リモートサーバー通信を実行するボットクライアントにすることができます。マルウェアのモジュラー構造により、各プラグインを個別に開発できるため、ハッカーは特定のニーズに応じてマルウェアをスケーリングおよび成形できます。これまでに、3種類のクライアントボットが確認されています。DLL、EXE、およびPowerShellプロセスのアドレス空間でDLLを実行するPowerShellスクリプトです。脅威のリモートサーバーは、.NET Frameworkを使用して作成され、リモートLinuxホストで実行されます。

Lizar Backdoorプラグインは、MimikatzやCarbanak RATなどの追加のマルウェアペイロードの配信と実行を含む、さまざまな有害なアクションを実行できます。さらに、攻撃者は情報にアクセスして侵入し、任意のスクリーンショットを撮り、資格情報を収集し、ブラウザの履歴を収集することができます。データがリモートサーバーに配信される前に、5〜15バイトの長さのセッションキーで暗号化されてから、構成で見つかったキーで再度暗号化されます。指定されたキーがサーバー上のキーと一致しない場合、データは転送されません。