信息化觀察網(wǎng)

臭名昭著的FIN7犯罪團(tuán)伙是一個(gè)網(wǎng)絡(luò)金融犯罪團(tuán)伙，他們利用白帽黑客所使用的Windows測(cè)試工具進(jìn)行傳播一個(gè)名為L(zhǎng)izar的后門工具。

據(jù)BI.ZONE網(wǎng)絡(luò)威脅研究小組稱，F(xiàn)IN7首先會(huì)偽裝成一個(gè)合法的組織，售賣一種安全分析工具。研究人員說："這些團(tuán)伙雇用的員工甚至不知道他們使用的就是一個(gè)惡意軟件，也不知道他們的雇主是一個(gè)的犯罪集團(tuán)。"

自2015年以來，F(xiàn)IN7將攻擊目標(biāo)鎖定在了休閑餐廳、賭場(chǎng)和酒店的銷售點(diǎn)系統(tǒng)上。該組織通常使用帶有惡意代碼的釣魚文件攻擊受害者。

讓研究人員感到驚訝的是，該團(tuán)伙對(duì)惡意軟件的使用是在不斷變化的，他們偶爾還會(huì)使用一些從未見過的樣本，但他們常用的是Carbanak遠(yuǎn)程訪問特洛伊木馬（RAT），以前的分析表明，與其他的木馬相比，它更加復(fù)雜和精密，Carbanak通常用于偵查和在網(wǎng)絡(luò)上建立一個(gè)立足點(diǎn)。

但最近，BI.ZONE的研究人員注意到該組織使用了一種稱為L(zhǎng)izar的新型后門。根據(jù)周四發(fā)表的一份分析報(bào)告，該工具的最新版本從2月份以來就一直在使用，它擁有強(qiáng)大的數(shù)據(jù)檢索和橫向移動(dòng)能力。

該公司稱："Lizar是一個(gè)多樣化的復(fù)雜的工具箱。它目前仍然處于開發(fā)和測(cè)試狀態(tài)，但它已經(jīng)被廣泛的用于控制受感染的計(jì)算機(jī)。"

迄今為止，受害者就已經(jīng)包含了美國(guó)的一家賭博機(jī)構(gòu)、幾家教育機(jī)構(gòu)和制藥公司、總部設(shè)在德國(guó)的一家IT公司、巴拿馬的一家金融機(jī)構(gòu)。

FIN7的Lizar工具包詳情

研究人員說，Lizar工具箱在結(jié)構(gòu)上與Carbanak非常相似。它由一個(gè)加載器和各種插件組成。它們會(huì)一起在受感染的系統(tǒng)上運(yùn)行，并且還可以組合成Lizar僵尸客戶端，而后者又可以與遠(yuǎn)程服務(wù)器進(jìn)行通信。

根據(jù)分析，該工具的模塊化架構(gòu)使得其具有很強(qiáng)的可擴(kuò)展性，并允許所有組件進(jìn)行獨(dú)立開發(fā)。我們已經(jīng)檢測(cè)到了三種攻擊工具。DLLs、EXEs和PowerShell腳本，它們可以在PowerShell進(jìn)程的地址空間中執(zhí)行一個(gè)DLL。

據(jù)BI.ZONE稱，這些插件會(huì)從服務(wù)器發(fā)送到加載器，并在Lizar客戶端應(yīng)用程序中執(zhí)行某種操作時(shí)被執(zhí)行。

研究人員說，Lizar服務(wù)器應(yīng)用程序是用.NET框架編寫的，并在遠(yuǎn)程Linux主機(jī)上運(yùn)行。

研究人員解釋說："在發(fā)送到服務(wù)器之前，數(shù)據(jù)會(huì)在一個(gè)長(zhǎng)度為5至15字節(jié)的會(huì)話密鑰上進(jìn)行加密，然后在配置中使用指定的密鑰（31字節(jié)）進(jìn)行加密。如果配置中指定的密鑰（31個(gè)字節(jié)）與服務(wù)器上的密鑰不匹配，就不會(huì)從服務(wù)器上接收數(shù)據(jù)。"

網(wǎng)絡(luò)犯罪分子冒充安全研究人員

冒充安全機(jī)構(gòu)，傳播惡意軟件，F(xiàn)IN7并不是第一次使用這種攻擊策略。過去，BI.ZONE曾觀察到它以網(wǎng)絡(luò)安全公司Check Point Software或Forcepoint的工具為幌子推送Carbanak工具。

今年早些時(shí)候，一個(gè)名為Zinc的朝鮮高級(jí)持續(xù)性威脅組織（APT）與臭名昭著的APT Lazarus，發(fā)起了兩次針對(duì)安全研究人員的網(wǎng)絡(luò)攻擊。

今年1月，該組織通過Twitter和LinkedIn以及Discord和Telegram等其他媒體平臺(tái)，利用其精心設(shè)計(jì)的社會(huì)工程學(xué)攻擊工具與研究人員成功建立了信任關(guān)系，把自己偽裝成是對(duì)網(wǎng)絡(luò)安全感興趣的研究人員。

具體來說，攻擊者首先會(huì)通過詢問研究人員是否愿意一起合作進(jìn)行漏洞研究。他們通過發(fā)布他們所研究的漏洞的視頻來提高自己的可信度。

最終，經(jīng)過多次交流，攻擊者會(huì)向目標(biāo)研究人員提供一個(gè)感染了惡意代碼的Visual Studio項(xiàng)目，該項(xiàng)目還可以在他們的系統(tǒng)上安裝一個(gè)后門。受害者也可以通過點(diǎn)擊一個(gè)惡意的Twitter鏈接而被感染。

據(jù)Google TAG當(dāng)時(shí)稱，在這些攻擊中被感染的安全研究人員運(yùn)行的是完全打過補(bǔ)丁的最新版本的Windows 10和Chrome瀏覽器，這表明黑客很可能在他們的攻擊中使用了0 day漏洞。

4月，Zinc又開始了攻擊活動(dòng)，使用了一些相同的社會(huì)工程學(xué)攻擊策略，同時(shí)增加了一個(gè)名為"SecuriElite"的假公司的Twitter和LinkedIn資料，該公司聲稱是一家位于土耳其的安全公司。該公司聲稱會(huì)提供軟件安全評(píng)估和漏洞測(cè)試服務(wù)，并聲稱要通過LinkedIn大量招聘網(wǎng)絡(luò)安全人員。