FIN7後門工具偽裝成白帽工具進行傳播

臭名昭著的FIN7犯罪團伙是一個網路金融犯罪團伙，他們利用白帽黑客所使用的Windows測試工具進行傳播一個名為Lizar的後門工具。

據BI.ZONE網路威脅研究小組稱，FIN7首先會偽裝成一個合法的組織，售賣一種安全分析工具。研究人員說："這些團伙僱用的員工甚至不知道他們使用的就是一個惡意軟體，也不知道他們的僱主是一個的犯罪集團。"

自2015年以來，FIN7將攻擊目標鎖定在了休閒餐廳、賭場和酒店的銷售點系統上。該組織通常使用帶有惡意程式碼的釣魚檔案攻擊受害者。

讓研究人員感到驚訝的是，該團伙對惡意軟體的使用是在不斷變化的，他們偶爾還會使用一些從未見過的樣本，但他們常用的是Carbanak遠端訪問特洛伊木馬(RAT)，以前的分析表明，與其他的木馬相比，它更加複雜和精密，Carbanak通常用於偵查和在網路上建立一個立足點。

但最近，BI.ZONE的研究人員注意到該組織使用了一種稱為Lizar的新型後門。根據週四發表的一份分析報告，該工具的最新版本從2月份以來就一直在使用，它擁有強大的資料檢索和橫向移動能力。

該公司稱："Lizar是一個多樣化的複雜的工具箱。它目前仍然處於開發和測試狀態，但它已經被廣泛的用於控制受感染的計算機。 "

迄今為止，受害者就已經包含了美國的一家賭博機構、幾家教育機構和製藥公司、總部設在德國的一家IT公司、巴拿馬的一家金融機構。

FIN7的Lizar工具包詳情

研究人員說，Lizar工具箱在結構上與Carbanak非常相似。它由一個載入器和各種插件組成。它們會一起在受感染的系統上運行，並且還可以組合成Lizar殭屍客戶端，而後者又可以與遠端伺服器進行通訊。

根據分析，該工具的模組化架構使得其具有很強的可擴展性，並允許所有元件進行獨立開發。我們已經檢測到了三種攻擊工具。DLLs、EXEs和PowerShell指令碼，它們可以在PowerShell程序的地址空間中執行一個DLL。

據BI.ZONE稱，這些插件會從伺服器傳送到載入器，並在Lizar客戶端應用程式中執行某種操作時被執行。

研究人員說，Lizar伺服器應用程式是用.NET框架編寫的，並在遠端Linux主機上運行。

研究人員解釋說："在傳送到伺服器之前，資料會在一個長度為5至15位元組的會話金鑰上進行加密，然後在配置中使用指定的金鑰(31位元組)進行加密。如果配置中指定的金鑰(31個位元組)與伺服器上的金鑰不匹配，就不會從伺服器上接收資料。"

網路犯罪分子冒充安全研究人員

冒充安全機構，傳播惡意軟體，FIN7並不是第一次使用這種攻擊策略。過去，BI.ZONE曾觀察到它以網路安全公司Check Point Software或Forcepoint的工具為幌子推送Carbanak工具。

今年早些時候，一個名為Zinc的朝鮮高階持續性威脅組織(APT)與臭名昭著的APT Lazarus，發起了兩次針對安全研究人員的網路攻擊。

今年1月，該組織通過Twitter和LinkedIn以及Discord和Telegram等其他媒體平臺，利用其精心設計的社會工程學攻擊工具與研究人員成功建立了信任關係，把自己偽裝成是對網路安全感興趣的研究人員。

具體來說，攻擊者首先會通過詢問研究人員是否願意一起合作進行漏洞研究。他們通過釋出他們所研究的漏洞的視訊來提高自己的可信度。

最終，經過多次交流，攻擊者會向目標研究人員提供一個感染了惡意程式碼的Visual Studio項目，該項目還可以在他們的系統上安裝一個後門。受害者也可以通過點選一個惡意的Twitter連結而被感染。

據Google TAG當時稱，在這些攻擊中被感染的安全研究人員運行的是完全打過補丁的最新版本的Windows 10和Chrome瀏覽器，這表明黑客很可能在他們的攻擊中使用了0 day漏洞。

4月，Zinc又開始了攻擊活動，使用了一些相同的社會工程學攻擊策略，同時增加了一個名為 "SecuriElite "的假公司的Twitter和LinkedIn資料，該公司聲稱是一家位於土耳其的安全公司。該公司聲稱會提供軟體安全評估和漏洞測試服務，並聲稱要通過LinkedIn大量招聘網路安全人員。