[[399825]]

臭名昭著的FIN7犯罪團(tuán)伙是一個網(wǎng)絡(luò)金融犯罪團(tuán)伙，他們利用白帽黑客所使用的Windows測試工具進(jìn)行傳播一個名為Lizar的后門工具。

據(jù)BI.ZONE網(wǎng)絡(luò)威脅研究小組稱，F(xiàn)IN7首先會偽裝成一個合法的組織，售賣一種安全分析工具。研究人員說："這些團(tuán)伙雇用的員工甚至不知道他們使用的就是一個惡意軟件，也不知道他們的雇主是一個的犯罪集團(tuán)。"

自2015年以來，F(xiàn)IN7將攻擊目標(biāo)鎖定在了休閑餐廳、賭場和酒店的銷售點系統(tǒng)上。該組織通常使用帶有惡意代碼的釣魚文件攻擊受害者。

讓研究人員感到驚訝的是，該團(tuán)伙對惡意軟件的使用是在不斷變化的，他們偶爾還會使用一些從未見過的樣本，但他們常用的是Carbanak遠(yuǎn)程訪問特洛伊木馬(RAT)，以前的分析表明，與其他的木馬相比，它更加復(fù)雜和精密，Carbanak通常用于偵查和在網(wǎng)絡(luò)上建立一個立足點。

但最近，BI.ZONE的研究人員注意到該組織使用了一種稱為Lizar的新型后門。根據(jù)周四發(fā)表的一份分析報告，該工具的最新版本從2月份以來就一直在使用，它擁有強(qiáng)大的數(shù)據(jù)檢索和橫向移動能力。

該公司稱："Lizar是一個多樣化的復(fù)雜的工具箱。它目前仍然處于開發(fā)和測試狀態(tài)，但它已經(jīng)被廣泛的用于控制受感染的計算機(jī)。 "

迄今為止，受害者就已經(jīng)包含了美國的一家賭博機(jī)構(gòu)、幾家教育機(jī)構(gòu)和制藥公司、總部設(shè)在德國的一家IT公司、巴拿馬的一家金融機(jī)構(gòu)。

FIN7的Lizar工具包詳情

研究人員說，Lizar工具箱在結(jié)構(gòu)上與Carbanak非常相似。它由一個加載器和各種插件組成。它們會一起在受感染的系統(tǒng)上運行，并且還可以組合成Lizar僵尸客戶端，而后者又可以與遠(yuǎn)程服務(wù)器進(jìn)行通信。

根據(jù)分析，該工具的模塊化架構(gòu)使得其具有很強(qiáng)的可擴(kuò)展性，并允許所有組件進(jìn)行獨立開發(fā)。我們已經(jīng)檢測到了三種攻擊工具。DLLs、EXEs和PowerShell腳本，它們可以在PowerShell進(jìn)程的地址空間中執(zhí)行一個DLL。

據(jù)BI.ZONE稱，這些插件會從服務(wù)器發(fā)送到加載器，并在Lizar客戶端應(yīng)用程序中執(zhí)行某種操作時被執(zhí)行。

研究人員說，Lizar服務(wù)器應(yīng)用程序是用.NET框架編寫的，并在遠(yuǎn)程Linux主機(jī)上運行。

研究人員解釋說："在發(fā)送到服務(wù)器之前，數(shù)據(jù)會在一個長度為5至15字節(jié)的會話密鑰上進(jìn)行加密，然后在配置中使用指定的密鑰(31字節(jié))進(jìn)行加密。如果配置中指定的密鑰(31個字節(jié))與服務(wù)器上的密鑰不匹配，就不會從服務(wù)器上接收數(shù)據(jù)。"

網(wǎng)絡(luò)犯罪分子冒充安全研究人員

冒充安全機(jī)構(gòu)，傳播惡意軟件，F(xiàn)IN7并不是第一次使用這種攻擊策略。過去，BI.ZONE曾觀察到它以網(wǎng)絡(luò)安全公司Check Point Software或Forcepoint的工具為幌子推送Carbanak工具。

今年早些時候，一個名為Zinc的朝鮮高級持續(xù)性威脅組織(APT)與臭名昭著的APT Lazarus，發(fā)起了兩次針對安全研究人員的網(wǎng)絡(luò)攻擊。

今年1月，該組織通過Twitter和LinkedIn以及Discord和Telegram等其他媒體平臺，利用其精心設(shè)計的社會工程學(xué)攻擊工具與研究人員成功建立了信任關(guān)系，把自己偽裝成是對網(wǎng)絡(luò)安全感興趣的研究人員。

具體來說，攻擊者首先會通過詢問研究人員是否愿意一起合作進(jìn)行漏洞研究。他們通過發(fā)布他們所研究的漏洞的視頻來提高自己的可信度。

最終，經(jīng)過多次交流，攻擊者會向目標(biāo)研究人員提供一個感染了惡意代碼的Visual Studio項目，該項目還可以在他們的系統(tǒng)上安裝一個后門。受害者也可以通過點擊一個惡意的Twitter鏈接而被感染。

據(jù)Google TAG當(dāng)時稱，在這些攻擊中被感染的安全研究人員運行的是完全打過補(bǔ)丁的最新版本的Windows 10和Chrome瀏覽器，這表明黑客很可能在他們的攻擊中使用了0 day漏洞。

4月，Zinc又開始了攻擊活動，使用了一些相同的社會工程學(xué)攻擊策略，同時增加了一個名為 "SecuriElite "的假公司的Twitter和LinkedIn資料，該公司聲稱是一家位于土耳其的安全公司。該公司聲稱會提供軟件安全評估和漏洞測試服務(wù)，并聲稱要通過LinkedIn大量招聘網(wǎng)絡(luò)安全人員。

本文翻譯自：https://threatpost.com/fin7-backdoor-ethical-hacking-tool/166194/如若轉(zhuǎn)載，請注明原文地址。