FIN7-Backdoor tarnt sich als ethisches Hacking-Tool

Cyber Security News

Die finanziell motivierte Cybercrime-Bande, die hinter dem Carbanak-RAT steckt, ist zurück mit der Lizar-Malware, die alle möglichen Informationen von Windows-Rechnern abgreifen kann.

Die berüchtigte FIN7-Cybercrime-Gang, eine finanziell motivierte Gruppe, verbreitet eine Backdoor namens Lizar unter dem Deckmantel, ein Windows-Pen-Testing-Tool für ethische Hacker zu sein.

Laut dem BI.ZONE Cyber Threats Research Team gibt FIN7 vor, eine legitime Organisation zu sein, die ein Tool zur Sicherheitsanalyse verhökert. Sie bemühen sich sehr um Wahrhaftigkeit, so die Forscher: “Diese Gruppen stellen Mitarbeiter ein, die nicht einmal wissen, dass sie mit echter Malware arbeiten oder dass ihr Arbeitgeber eine echte kriminelle Gruppe ist.”

Seit 2015 zielt FIN7 auf Kassensysteme in Freizeitrestaurants, Casinos und Hotels ab. Die Gruppe verwendet typischerweise mit Malware versehene Phishing-Angriffe gegen die Opfer in der Hoffnung, dass sie in der Lage sind, Systeme zu infiltrieren, um Bankkartendaten zu stehlen und sie zu verkaufen. Seit 2020 hat die Gruppe auch Ransomware-/Datenexfiltrationsangriffe in ihren Mix aufgenommen und wählt die Ziele mithilfe des ZoomInfo-Dienstes sorgfältig nach ihrem Umsatz aus, so die Forscher.

Die Auswahl der Malware entwickelt sich ständig weiter, einschließlich der gelegentlichen Verwendung von noch nie zuvor gesehenen Samples, die die Forscher überraschen. Sein bevorzugtes Toolkit ist jedoch der Remote-Access-Trojaner (RAT) Carbanak, der laut früheren Analysen im Vergleich zu seinen Mitbewerbern sehr komplex und ausgefeilt ist: Es ist im Grunde ein Cadillac in einem Meer von Golfwagen. Carbanak wird typischerweise zur Erkundung und zum Einschleusen in Netzwerke eingesetzt.

In letzter Zeit haben BI.ZONE-Forscher jedoch festgestellt, dass die Gruppe eine neue Art von Backdoor verwendet, die Lizar genannt wird. Die neueste Version ist seit Februar im Einsatz und bietet laut einer am Donnerstag veröffentlichten Analyse eine Reihe von leistungsstarken Funktionen zum Abrufen von Daten und zur seitlichen Bewegung.

“Lizar ist ein vielfältiges und komplexes Toolkit”, so die Firma. “Es befindet sich derzeit noch in der aktiven Entwicklung und Erprobung, wird aber bereits in großem Umfang verwendet, um infizierte Computer zu steuern, hauptsächlich in den Vereinigten Staaten.”

Zu den bisherigen Opfern gehören Angriffe auf eine Glücksspieleinrichtung, mehrere Bildungseinrichtungen und Pharmaunternehmen in den USA sowie ein IT-Unternehmen mit Hauptsitz in Deutschland und ein Finanzinstitut in Panama.

Einblick in das Lizar-Toolkit von FIN7

Das Lizar-Toolkit ist strukturell ähnlich aufgebaut wie Carbanak, so die Forscher. Es besteht aus einem Loader und verschiedenen Plugins, die für unterschiedliche Aufgaben verwendet werden. Zusammen laufen sie auf einem infizierten System und können zum Lizar-Bot-Client kombiniert werden, der wiederum mit einem Remote-Server kommuniziert.

“Die modulare Architektur des Bots macht das Tool skalierbar und ermöglicht eine unabhängige Entwicklung aller Komponenten”, heißt es in der Analyse. “Wir haben drei Arten von Bots entdeckt: DLLs, EXEs und PowerShell-Skripte, die eine DLL im Adressraum des PowerShell-Prozesses ausführen.”

Die Plugins werden laut BI.ZONE vom Server an den Lader geschickt und werden ausgeführt, wenn eine bestimmte Aktion in der Lizar-Client-Anwendung ausgeführt wird.

Die sechs Phasen des Lebenszyklus der Plugins sind wie folgt: Der Benutzer wählt einen Befehl in der Lizar-Client-Anwendungsoberfläche aus; Der Lizar-Server empfängt die Informationen über den ausgewählten Befehl; Der Server findet ein passendes Plugin aus dem Plugins-Verzeichnis und sendet es dann an den Lader; Der Lader führt das Plugin aus und speichert das Ergebnis der Ausführung des Plugins in einem speziell zugewiesenen Speicherbereich auf dem Heap; Der Server ruft die Ergebnisse der Plugin-Ausführung ab und sendet sie an den Client weiter; und Die Client-Anwendung zeigt die Plugin-Ergebnisse an.

Die Plugins sind unterschiedlich konzipiert, um andere Tools wie Mimikatz oder Carbanak zu laden, Informationen vom Opfercomputer abzurufen, Screenshots zu erstellen, Anmeldedaten zu sammeln, Browserverläufe abzurufen und vieles mehr.

Die spezifischen Bot-Befehle lauten wie folgt: Befehlszeile – Holen Sie CMD auf dem infizierten System; Executer – ein zusätzliches Modul starten; Grabber – führt eines der Plugins aus, die Passwörter in Browsern, im Remotedesktop-Protokoll und im Windows-Betriebssystem sammeln; Info – Informationen über das System abrufen; Springen zu – den Lader zu einem anderen Prozess migrieren; Kill – Plugin stoppen; List Processes – eine Liste von Prozessen erhalten; Mimikatz – Mimikatz ausführen; Netzwerkanalyse – führen Sie eines der Plugins aus, um Active Directory- und Netzwerkinformationen abzurufen; Neue Sitzung – erstellen Sie eine weitere Loader-Sitzung (führen Sie eine Kopie des Loaders auf dem infizierten System aus); Rat – Carbanak ausführen; und Screenshot – machen Sie einen Screenshot.

Die Lizar-Server-Anwendung wurde unterdessen mit dem .NET-Framework geschrieben und läuft auf einem entfernten Linux-Host, so die Forscher. Sie unterstützt die verschlüsselte Kommunikation mit dem Bot-Client.

“Bevor die Daten an den Server gesendet werden, werden sie mit einem Sitzungsschlüssel mit einer Länge von 5 bis 15 Byte und anschließend mit dem in der Konfiguration angegebenen Schlüssel (31 Byte) verschlüsselt”, so die Forscher. “Wenn der in der Konfiguration angegebene Schlüssel (31 Bytes) nicht mit dem Schlüssel auf dem Server übereinstimmt, werden keine Daten vom Server gesendet.”

Cyber-Kriminelle, die sich als Sicherheitsforscher ausgeben

Die beeindruckend ironische Taktik, sich als Sicherheitsunternehmen auszugeben und gleichzeitig zur, nun ja, Unsicherheit beizutragen, ist keine neue Idee, auch nicht für FIN7. In der Vergangenheit hat BI.ZONE beobachtet, wie das Unternehmen Carbanak unter dem Vorwand, es handele sich um ein Tool von Check Point Software oder Forcepoint, vertrieben hat.

Anfang dieses Jahres hat eine nordkoreanische Advanced Persistent Threat Group (APT) namens Zinc, die Verbindungen zur berüchtigteren APT Lazarus hat, zwei separate Angriffe auf Sicherheitsforscher durchgeführt.

Im Januar nutzte die Gruppe aufwändige Social-Engineering-Maßnahmen über Twitter und LinkedIn sowie andere Medienplattformen wie Discord und Telegram, um vertrauensvolle Beziehungen zu Forschern aufzubauen, indem sie sich als legitime Forscher ausgaben, die sich für offensive Sicherheit interessieren.

Konkret nahmen die Angreifer Kontakt auf, indem sie Forscher fragten, ob sie gemeinsam an Schwachstellenforschung arbeiten wollten. Sie demonstrierten ihre eigene Glaubwürdigkeit, indem sie Videos von Exploits veröffentlichten, an denen sie gearbeitet hatten, einschließlich der Vortäuschung des Erfolgs eines funktionierenden Exploits für eine bestehende, gepatchte Windows Defender-Schwachstelle, die als Teil des massiven SolarWinds-Angriffs ausgenutzt worden war.

Schließlich stellten die Angreifer den angegriffenen Forschern nach langem Schriftverkehr ein Visual Studio-Projekt zur Verfügung, das mit bösartigem Code infiziert war und eine Hintertür auf ihrem System installieren konnte. Die Opfer konnten auch infiziert werden, indem sie einem bösartigen Twitter-Link folgten.

Die Sicherheitsforscher, die bei diesen Angriffen infiziert wurden, verwendeten laut Google TAG damals vollständig gepatchte und aktuelle Windows 10- und Chrome-Browserversionen, was darauf hindeutet, dass die Hacker bei ihrer Kampagne wahrscheinlich Zero-Day-Schwachstellen nutzten.

Im April war Zinc wieder am Werk und verwendete einige der gleichen Social-Media-Taktiken, fügte aber Twitter- und LinkedIn-Profile für ein gefälschtes Unternehmen namens “SecuriElite” hinzu, das vorgab, eine offensive Sicherheitsfirma mit Sitz in der Türkei zu sein. Das Unternehmen behauptete, Pen-Tests, Software-Sicherheitsbewertungen und Exploits anzubieten, und gab vor, aktiv Cybersecurity-Personal über LinkedIn zu rekrutieren.

Laden Sie unser exklusives KOSTENLOSES Threatpost Insider eBook “2021: The Evolution of Ransomware” (Die Entwicklung von Ransomware), um Ihre Cyber-Abwehrstrategien gegen diese wachsende Geißel zu verbessern. Wir gehen über den Status quo hinaus und decken auf, was als Nächstes auf Ransomware und die damit verbundenen neuen Risiken zukommt. Lesen Sie die ganze Geschichte und DOWNLOADen Sie das eBook jetzt – bei uns!

Einige Teile dieses Artikels stammen aus:
threatpost.com