Esta peligrosa puerta trasera se hace pasar por herramienta de hacking ético

El notorio grupo de ciberdelincuentes FIN7, un grupo con motivaciones financieras, está difundiendo una peligrosa puerta trasera llamada Lizar. Los ciberdelincuentes están disfrazando la puerta trasera como una herramienta de hacking ético para Windows.

Según el equipo de investigación de amenazas cibernéticas de BI.ZONE, FIN7 afirma ser una organización legítima que vende una herramienta de análisis de seguridad. Hacen todo lo posible por lograr la verosimilitud afirman los investigadores. “Estos grupos contratan empleados que ni siquiera saben que están trabajando con malware real o que su empleador es un grupo criminal real”.

Desde 2015, FIN7 se ha centrado en los sistemas de puntos de venta en restaurantes, casinos y hoteles de comidas informales. El grupo generalmente usa ataques de phishing con malware contra las víctimas con la esperanza de que puedan infiltrarse en los sistemas. El objetivo primordial es robar datos de tarjetas bancarias y venderlos. Desde 2020, también han agregado ataques de ransomware/exfiltración de datos a su combinación. Ellos seleccionan cuidadosamente los objetivos de acuerdo con los ingresos utilizando el servicio ZoomInfo.

Su elección de malware siempre está evolucionando, incluido el uso ocasional de muestras nunca antes vistas que sorprenden a los investigadores. Pero su conjunto de herramientas ha sido el troyano de acceso remoto (RAT) Carbanak, que según un análisis anterior es muy complejo y sofisticado en comparación con otros. Es básicamente un Cadillac en un mar de carritos de golf. Carbanak se utiliza normalmente para el reconocimiento y el establecimiento de un punto de apoyo en las redes.

Nueva puerta trasera

Últimamente, sin embargo, los investigadores de BI.ZONE han notado que el grupo está utilizando un nuevo tipo de puerta trasera, llamada Lizar. La última versión ha estado en uso desde febrero y ofrece un poderoso conjunto de capacidades de recuperación de datos y movimiento lateral.

“Lizar es un conjunto de herramientas diverso y complejo”. “Actualmente todavía se encuentra en desarrollo y pruebas activas, pero ya se está utilizando ampliamente para controlar computadoras infectadas, principalmente en todo Estados Unidos”.

Las víctimas hasta ahora han incluido ataques a un establecimiento de juegos, varias instituciones educativas y compañías farmacéuticas en los Estados Unidos. Además, ha atacado a una compañía informática alemana y una institución financiera en Panamá.

Explorando el kit de herramientas de Lizar

El conjunto de herramientas de Lizar es estructuralmente similar a Carbanak. Consiste en un cargador y varios complementos que se utilizan para diferentes tareas. Juntos, se ejecutan en un sistema infectado y se pueden combinar en el cliente bot de Lizar. Este bot a su vez se comunica con un servidor remoto.

“La arquitectura modular del bot hace que la herramienta sea escalable y permite el desarrollo independiente de todos los componentes”. “Hemos detectado tres tipos de bots: DLL, EXE y scripts de PowerShell, que ejecutan una DLL en el espacio de direcciones del proceso de PowerShell”.

Los complementos se envían desde el servidor al cargador y se ejecutan cuando se realiza una determinada acción en la aplicación cliente Lizar, según BI.ZONE.

Las seis etapas del ciclo de vida de los complementos son las siguientes:

• El usuario selecciona un comando en la interfaz de la aplicación cliente Lizar;
• El servidor de Lizar recibe la información sobre el comando seleccionado;
• El servidor encuentra un complemento adecuado en el directorio de complementos y luego lo envía al cargador;
• El cargador ejecuta el complemento y almacena el resultado de la ejecución del complemento en un área de memoria especialmente asignada;
• El servidor obtiene los resultados de la ejecución del complemento y los envía al cliente; y
• La aplicación cliente muestra los resultados del complemento.

Los complementos están diseñados para cargar otras herramientas como Mimikatz o Carbanak y obtener información de la máquina víctima. También permiten tomar capturas de pantalla, recolectar credenciales, recuperar historiales del navegador y más.

Comandos específicos

Los comandos específicos del bot son los siguientes:

• Command Line: obtener CMD en el sistema infectado;
• Executer: inicia un módulo adicional;
• Grabber: ejecutar uno de los complementos que recopilan contraseñas en los navegadores, el protocolo de escritorio remoto y el sistema operativo Windows;
• Info: obtener información sobre el sistema;
• Jump to: migrar el cargador a otro proceso;
• Kill: detener un complememto;
• List Processes: obtener una lista de procesos;
• Mimikatz – ejecutar Mimikatz;
• Network analysis: ejecutar uno de los complementos para obtener Active Directory y la información de la red;
• New session: creer otra sesión de cargador (ejecutar una copia del cargador en el sistema infectado);
• Rat: ejecutar Carbanak; y
• Screenshot: tomar una captura de pantalla.

La aplicación del servidor Lizar, mientras tanto, está escrita usando el framework .NET y se ejecuta en un host Linux remoto. Esta admite comunicaciones cifradas con el cliente bot.

Antes de enviarse al servidor, los datos se cifran en una clave de sesión con una longitud de entre 5 y 15 bytes. Y, luego en la clave especificada en la configuración (31 bytes). Si la clave especificada en la configuración (31 bytes) no coincide con la clave en el servidor, no se envían datos desde el servidor.

Ciberdelincuentes haciéndose pasar por investigadores de seguridad

La táctica impresionantemente irónica de hacerse pasar por un equipo de seguridad mientras contribuye a, bueno, la inseguridad no es una idea nueva, incluso para FIN7. En el pasado, BI.ZONE ha observado que promueve a Carbanak como un reconocido conjunto de herramientas de seguridad defensiva.  

A principios de este año, un grupo de amenazas persistentes avanzadas (APT) de Corea del Norte llamado Zinc realizó dos ataques separados contra investigadores de seguridad. La APT Zinc tiene vínculos con el reconocido APT Lazarus.

En enero, el grupo utilizó elaborados esfuerzos de ingeniería social a través de Twitter y LinkedIn, así como otras plataformas de medios como Discord y Telegram. Esto para establecer relaciones de confianza con los investigadores, aparentando ser investigadores legítimos interesados ​​en la seguridad ofensiva.

Específicamente, los atacantes iniciaron el contacto preguntando a los investigadores si querían colaborar juntos en la investigación de vulnerabilidades. Los atacantes demostraron su credibilidad publicando videos de exploits en los que habían trabajado. Esto incluyó la falsificación del éxito de un exploit funcional para una vulnerabilidad de Windows Defender parcheada existente. La vulnerabilidades había sido explotada como parte del ataque masivo SolarWinds.

Finalmente, después de mucha correspondencia, los atacantes proporcionaron a los investigadores seleccionados un proyecto de Visual Studio infectado con código malicioso. El proyecto infectado instalaba una puerta trasera en el sistema de los investigadores. Las víctimas también podrían infectarse siguiendo un enlace malicioso de Twitter.

Los investigadores de seguridad infectados en esos ataques estaban ejecutando versiones de navegador Windows 10 y Chrome completamente parcheadas y actualizadas. Según Google TAG, los ciberdelincuentes probablemente estaban usando vulnerabilidades de día cero en su campaña.

Ataque similar

Zinc volvió a hacerlo en abril, utilizando algunas de las mismas tácticas de las redes sociales. No obstante, esta vez creó perfiles de Twitter y LinkedIn de una empresa falsa llamada “SecuriElite”. SecuriElite afirmaba ser una empresa de seguridad ofensiva ubicada en Turquía. La compañía afirmó ofrecer pruebas de penetración, evaluaciones de seguridad de software y exploits, y pretendía reclutar activamente personal de ciberseguridad a través de LinkedIn.