Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Potrebbe esserci una backdoor all’interno di un tool per penetration test?

Redazione RHC : 17 Maggio 2021 07:00

Siamo alle solite. L’inventiva dei criminali informatici è sempre un passo avanti rispetto a chi difende le organizzazioni.

Questa volta, la famigerata cyber-gang FIN7, un gruppo di criminali informatici motivato finanziariamente, sta diffondendo una backdoor chiamata Lizar con la scusa di essere uno strumento di test di sicurezza per Windows per gli hacker etici.

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Secondo il BI.ZONE Cyber ​​Threats Research Team, FIN7 finge di essere un’organizzazione legittima che propone uno strumento di analisi della sicurezza. Fanno di tutto per essere verosimili, hanno detto i ricercatori:

    “Questi gruppi assumono dipendenti che non sono nemmeno consapevoli di lavorare con malware reale o che il loro datore di lavoro è un vero gruppo criminale”.

    Dal 2015, FIN7 ha mirato a sistemi di punti vendita presso ristoranti casual, casinò e hotel.

    Il gruppo utilizza in genere attacchi di phishing contenenti malware contro le vittime nella speranza che siano in grado di infiltrarsi nei sistemi per rubare i dati delle carte di credito e poi venderli nelle nderground.

    Dal 2020, il gruppo ha prodotto anche ransomware capaci di esfiltrare i dati, selezionando attentamente gli obiettivi in ​​base alle entrate utilizzando il servizio ZoomInfo, hanno osservato i ricercatori.

    Il toolkit Lizar è strutturalmente simile a Carbanak, hanno detto i ricercatori. Consiste in un software modulare con vari plugin che vengono utilizzati per diverse attività. Insieme vengono eseguiti su un sistema infetto e possono essere combinati nel client bot Lizar, che a sua volta comunica con un server remoto C2C.

    “L’architettura modulare del bot lo rende scalabile e consente lo sviluppo indipendente di tutti i componenti”

    Secondo l’analisi.

    “Abbiamo rilevato tre tipi di bot: DLL, EXE e script di PowerShell, che eseguono una DLL nello spazio degli indirizzi del processo di PowerShell.”

    I plugin vengono inviati dal server al loader e vengono eseguiti quando una determinata azione viene eseguita nell’applicazione client Lizar, secondo BI.ZONE.

    I plugin sono progettati per caricare altri strumenti come Mimikatz o Carbanak, recuperare informazioni dalla macchina vittima, acquisire schermate, raccogliere credenziali, recuperare le cronologie del browser e altro ancora.

    I comandi bot specifici sono i seguenti:

    1. Command Line: ottieni CMD sul sistema infetto;
    2. Executer: avvia un modulo aggiuntivo;
    3. Grabber: esegui uno dei plugin che raccolgono le password nei browser, Remote Desktop Protocol e sistema operativo Windows;
    4. Info: recupera le informazioni sul sistema;
    5. Jump to: migra il caricatore in un altro processo;
    6. Kill: interrompi il plugin;
    7. LIst Process: ottieni un elenco di processi;
    8. Mimikatz: esegui Mimikatz;
    9. Network analysis: esegui uno dei plug-in per recuperare Active Directory e le informazioni di rete;
    10. New Session: crea un’altra sessione del caricatore (esegui una copia del caricatore sul sistema infetto);
    11. Rat : esegui Carbanak; e
    12. Screenshot: fai gli screenshot del video.

    L’applicazione server Lizar, nel frattempo, è scritta utilizzando il framework .NET e viene eseguita su un host Linux remoto, hanno detto i ricercatori. Supporta comunicazioni crittografate con il client bot.

    “Prima di essere inviati al server, i dati vengono crittografati su una chiave di sessione con una lunghezza compresa tra 5 e 15 byte e quindi sulla chiave specificata nella configurazione (31 byte)”

    hanno spiegato i ricercatori

    “Se la chiave specificata nella configurazione (31 byte) non corrisponde alla chiave sul server, nessun dato viene inviato dal server.”

    Fonte

    https://threatpost.com/fin7-backdoor-ethical-hacking-tool/166194/

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    Ma quale Agenda 2030! 9 reattori nucleari per un chatbot è l’altra faccia dell’intelligenza artificiale

    Lo sviluppo di supercomputer per l’intelligenza artificiale sta entrando in una nuova orbita: in termini di scala, costi e consumi energetici e infrastrutture e megaprogetti. Uno studio condott...

    25 Aprile: Dalla Resistenza alla Cyber Resistenza – Difendiamo la Libertà Digitale

    Il 25 Aprile, data simbolo della Liberazione italiana dal fascismo, ci ricorda il valore della libertà, conquistata con il sacrificio di partigiani e combattenti. In un’era dominata dal di...

    Le Action Figure della Cyber Security. Red Hot Cyber lancia la serie “Chiama Ammiocuggino!”

    In un mondo dove ogni giorno si registrano migliaia di attacchi informatici, molte aziende continuano a sottovalutare l’importanza della cybersecurity, affidandosi a “sedicenti esperti&#...

    GPT-4 scrive un exploit prima del PoC pubblico. La corsa alla Patch non è mai stata così essenziale

    AI, AI e ancora AI. E sembra che l’intelligenza artificiale giorno dopo giorno ci porti innovazioni sia come difesa ma soprattutto, come attacco. L’intelligenza artificiale è gi...

    HackerHood di RHC Rivela due nuovi 0day sui prodotti Zyxel

    Il collettivo di ricerca in sicurezza informatica HackerHood, parte dell’universo della community di Red Hot Cyber, ha recentemente scoperto due nuove vulnerabilità ...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006