臭名昭著的FIN7犯罪團夥是一個網絡金融犯罪團夥，他們利用白帽黑客所使用的Windows測試工具進(jìn)行傳播一個名爲Lizar的後(hòu)門工具。

據BI.ZONE網絡威脅研究小組稱，FIN7首先會僞裝成(chéng)一個合法的組織，售賣一種(zhǒng)安全分析工具。研究人員說："這(zhè)些團夥雇用的員工甚至不知道(dào)他們使用的就是一個惡意軟件，也不知道(dào)他們的雇主是一個的犯罪集團。"

自2015年以來，FIN7將(jiāng)攻擊目标鎖定在了休閑餐廳、賭場和酒店的銷售點系統上。該組織通常使用帶有惡意代碼的釣魚文件攻擊受害者。

讓研究人員感到驚訝的是，該團夥對(duì)惡意軟件的使用是在不斷變化的，他們偶爾還(hái)會使用一些從未見過(guò)的樣本，但他們常用的是Carbanak遠程訪問特洛伊木馬（RAT），以前的分析表明，與其他的木馬相比，它更加複雜和精密，Carbanak通常用于偵查和在網絡上建立一個立足點。

但最近，BI.ZONE的研究人員注意到該組織使用了一種(zhǒng)稱爲Lizar的新型後(hòu)門。根據周四發(fā)表的一份分析報告，該工具的最新版本從2月份以來就一直在使用，它擁有強大的數據檢索和橫向(xiàng)移動能(néng)力。

該公司稱："Lizar是一個多樣化的複雜的工具箱。它目前仍然處于開(kāi)發(fā)和測試狀态，但它已經(jīng)被廣泛的用于控制受感染的計算機。"

迄今爲止，受害者就已經(jīng)包含了美國(guó)的一家賭博機構、幾家教育機構和制藥公司、總部設在德國(guó)的一家IT公司、巴拿馬的一家金融機構。

FIN7的Lizar工具包詳情

研究人員說，Lizar工具箱在結構上與Carbanak非常相似。它由一個加載器和各種(zhǒng)插件組成(chéng)。它們會一起(qǐ)在受感染的系統上運行，并且還(hái)可以組合成(chéng)Lizar僵屍客戶端，而後(hòu)者又可以與遠程服務器進(jìn)行通信。

根據分析，該工具的模塊化架構使得其具有很強的可擴展性，并允許所有組件進(jìn)行獨立開(kāi)發(fā)。我們已經(jīng)檢測到了三種(zhǒng)攻擊工具。DLLs、EXEs和PowerShell腳本，它們可以在PowerShell進(jìn)程的地址空間中執行一個DLL。

據BI.ZONE稱，這(zhè)些插件會從服務器發(fā)送到加載器，并在Lizar客戶端應用程序中執行某種(zhǒng)操作時被執行。

研究人員說，Lizar服務器應用程序是用.NET框架編寫的，并在遠程Linux主機上運行。

研究人員解釋說："在發(fā)送到服務器之前，數據會在一個長(cháng)度爲5至15字節的會話密鑰上進(jìn)行加密，然後(hòu)在配置中使用指定的密鑰（31字節）進(jìn)行加密。如果配置中指定的密鑰（31個字節）與服務器上的密鑰不匹配，就不會從服務器上接收數據。"

網絡犯罪分子冒充安全研究人員

冒充安全機構，傳播惡意軟件，FIN7并不是第一次使用這(zhè)種(zhǒng)攻擊策略。過(guò)去，BI.ZONE曾觀察到它以網絡安全公司Check Point Software或Forcepoint的工具爲幌子推送Carbanak工具。

今年早些時候，一個名爲Zinc的朝鮮高級持續性威脅組織（APT）與臭名昭著的APT Lazarus，發(fā)起(qǐ)了兩(liǎng)次針對(duì)安全研究人員的網絡攻擊。

今年1月，該組織通過(guò)Twitter和LinkedIn以及Discord和Telegram等其他媒體平台，利用其精心設計的社會工程學(xué)攻擊工具與研究人員成(chéng)功建立了信任關系，把自己僞裝成(chéng)是對(duì)網絡安全感興趣的研究人員。

具體來說，攻擊者首先會通過(guò)詢問研究人員是否願意一起(qǐ)合作進(jìn)行漏洞研究。他們通過(guò)發(fā)布他們所研究的漏洞的視頻來提高自己的可信度。

最終，經(jīng)過(guò)多次交流，攻擊者會向(xiàng)目标研究人員提供一個感染了惡意代碼的Visual Studio項目，該項目還(hái)可以在他們的系統上安裝一個後(hòu)門。受害者也可以通過(guò)點擊一個惡意的Twitter鏈接而被感染。

據Google TAG當時稱，在這(zhè)些攻擊中被感染的安全研究人員運行的是完全打過(guò)補丁的最新版本的Windows 10和Chrome浏覽器，這(zhè)表明黑客很可能(néng)在他們的攻擊中使用了0 day漏洞。

4月，Zinc又開(kāi)始了攻擊活動，使用了一些相同的社會工程學(xué)攻擊策略，同時增加了一個名爲 "SecuriElite "的假公司的Twitter和LinkedIn資料，該公司聲稱是一家位于土耳其的安全公司。該公司聲稱會提供軟件安全評估和漏洞測試服務，并聲稱要通過(guò)LinkedIn大量招聘網絡安全人員。

——END——

　　更多網站設計、網頁設計等相關内容，歡迎您咨詢中山網訊科技！
　　
責任編輯：中山網站建設
     【網訊網絡】國(guó)家高新技術企業》十二年專注軟件開(kāi)發(fā)，網站建設，網頁設計，APP開(kāi)發(fā)，小程序，微信公衆号開(kāi)發(fā)，定制各類企業管理軟件（OA、CRM、ERP、OMS訂單管理系統、WMS進(jìn)銷存管理軟件等)！服務熱線：0760-88610046、13924923903，http://www.wansion.net