Исследователи из BI.ZONE обнаружили новую версию вредоносного тулкита Lizar. Это орудие разведки и закрепления в Windows-сети злоумышленники пытаются замаскировать под легитимный инструмент для пентеста, используя имя Check Point или Forcepoint.

В BI.ZONE проанализировали образец Lizar и пришли к выводу, что по структуре он схож с Carbanak Backdoor и активно развивается. Новый набор вредоносных инструментов состоит Windows-клиента, серверного приложения (оба написаны на .NET), загрузчика плагинов и ряда плагинов, устанавливаемых на стороне клиента и сервера.

Загрузчик плагинов и сами такие модули работают на зараженной машине как составные части бота. Анализ показал, что Lizar-бот способен выполнить несколько команд, в том числе:

• предоставить информацию о зараженной системе;

• сделать скриншот;

• составить список запущенных процессов;

• запустить Mimikatz;

• запустить плагин, собирающий пароли из браузеров и в ОС;

• запустить плагин для сбора информации о сети и Active Directory;

• запустить Carbanak Backdoor.

Модульная архитектура Lizar позволяет злоумышленникам с легкостью добавлять плагины. На настоящий момент эксперты обнаружили три вида Lizar-ботов: DLL, EXE и скриптовый вариант.

Источник: anti-malware.ru