Multi-License Discount Quote
قاعدة بيانات التهديد Backdoors Kazuar

Kazuar

بواسطة GoldSparrow في Backdoors
ترجمة الى:
العربية

اكتشف الباحثون حصان طروادة مستتر يسمى Kazuar. تم اكتشاف أن Kazuar مرتبط بحملة تجسس ويبدو أنه مكتوب باستخدام Microsoft .NET Framework. يسمح Kazuar للمهاجمين بالوصول الكامل إلى النظام المخترق.

لدى Kazuar العديد من الوظائف والأوامر المحتملة، بما في ذلك القدرة على تحميل المكونات الإضافية عن بعد. تمنح هذه المكونات الإضافية حصان طروادة قدرات أكبر وتجعله أكثر تهديدًا. كان هناك أيضًا رمز في السلالة المرصودة يشير إلى وجود إصدارات Linux وMac من Kazuar في العالم. الشيء الوحيد الذي يبرز في Kazuar هو أنه يعمل من خلال واجهة برمجة التطبيقات (API) المتصلة بخادم الويب، وقد يكون الفيروس الأول – والوحيد – الذي يعمل بهذه الطريقة.

من يقف خلف كازور؟

يعتقد الباحثون أن Kazuar مرتبط بـ Turla ، وهي مجموعة APT (التهديدات المستمرة المتقدمة)، المعروفة أيضًا بأنها تعمل تحت اسم Snake و Uroburos . تشتهر Turla بقدراتها المتقدمة وبكونها مجموعة تهديدات إلكترونية مقرها روسيا منذ فترة طويلة ولها علاقات مزعومة مع جهاز الأمن الفيدرالي الروسي (FSB). تستهدف المجموعة السفارات والمؤسسات التعليمية ومقاولي الدفاع والمنظمات البحثية بهجماتها. لدى Turla ما يشبه التوقيع في الكود الخاص بها والذي يحدد الأدوات على أنها أدوات خاصة بها، ويمكن إرجاع الكود المستخدم لـ Kazuar إلى عام 2005، على الأقل.

استخدمت شركة Turla عددًا من الأدوات في وقتها، ويتم نشر معظمها في المرحلة الثانية من الهجمات داخل البيئات المعرضة للخطر. يمكن أن يكون Kazuar إحدى الطرق الجديدة التي تتعامل بها مجموعة Turla مع العمليات.

ماذا يفعل كازور؟

Kazuar هو حصان طروادة مستتر، وهو أحد أكبر فئات التهديدات الرقمية. يمكن أن تكون أحصنة طروادة الخلفية برامج باهظة الثمن وشاملة مع مجموعة من الإمكانات، أو يمكن أن تكون برامج بسيطة لا تفعل شيئًا سوى اختبار اتصال الخادم. إن كازور، على وجه الخصوص، والذي سمي على اسم طائر الشبنم في جنوب شرق آسيا، هو أقرب إلى حصان طروادة التقليدي من الباب الخلفي. على الرغم من أن Kazuar يعد برنامجًا أساسيًا نسبيًا، إلا أنه يحتوي على بعض الميزات المخفية التي تجعله أكثر تهديدًا من أحصنة طروادة التقليدية مثل PowerStallion أو Neuron .

ينطلق Kazuar لتجنب اكتشافه بينما يقوم قراصنة Turla بجمع المعلومات الاستخبارية من أهدافهم. على الرغم من أن Kazuar هو تطبيق .NET Framework، إلا أنه يحتوي أيضًا على ميزات تجعله متوافقًا مع أنظمة Mac وUnix/Linux. ومع ذلك، حتى الآن، تم رصد متغيرات Windows فقط في البرية.

ألق نظرة على كود Kazuar، وسترى مقدار العمل الذي تم بذله في هذا الفيروس. يمتلك Kazuar روتين إعداد محسّنًا وهو قادر على التكيف مع أجهزة الكمبيوتر الضعيفة من خلال إنشاء الثبات من خلال عدد من الطرق. يقوم الفيروس بإنشاء ملفات DLL ويستغل خدمات Windows ووظائف .NET Framework للبقاء على جهاز الكمبيوتر. بمجرد تشغيل الفيروس، فإنه سيعطي المهاجم معلومات حول الكمبيوتر المستهدف ويسمح له بالتحكم. يستطيع المهاجمون تحميل الملفات، والتقاط لقطات الشاشة، وتنشيط كاميرات الويب، ونسخ البيانات، وتشغيل الملفات القابلة للتنفيذ، وتنفيذ مهام أخرى من خلال وحدات اختيارية.

تجدر الإشارة إلى ميزة واجهة برمجة التطبيقات (API). تتصل فيروسات مثل هذه بشكل أساسي بخوادم الأوامر والتحكم (خوادم C2) وتنتظر التعليمات. يتميز Kazuar بقدرته على إنشاء خادم ويب يستمع دائمًا ويساعد الفيروس على تجنب جدران الحماية واكتشافات مكافحة البرامج الضارة.

كيف يصيب Kazuar أجهزة الكمبيوتر؟

تصيب البرامج الضارة Kazuar أجهزة الكمبيوتر من خلال عدة طرق مختلفة. الأكثر شيوعًا هي حزم البرامج الضارة، والبريد الإلكتروني العشوائي، ومشاركة الشبكة، والروابط الضارة، والوصول إلى محركات الأقراص المحمولة المصابة. من المؤكد أن Kazuar سيسبب قدرًا هائلاً من الضرر بمجرد وصوله إلى جهاز الكمبيوتر الخاص بك.

أبلغ الضحايا عن اضطرارهم للتعامل مع فشل محرك الأقراص الثابتة، والأعطال المتكررة، والتطبيقات التالفة، وغير ذلك الكثير. هذا لا يعني شيئًا عن الضرر الفعلي الذي يمكن أن يحدثه من حيث الخسارة المالية أو سرقة الهوية. يجب عليك اتخاذ الخطوات اللازمة لحماية نفسك من Kazuar وإزالة أي إصابة في أسرع وقت ممكن.

عند إصابة جهاز مستهدف، تقوم البرمجيات الخبيثة Kazuar بجمع بعض المعلومات المتعلقة بالبرامج والأجهزة الخاصة بالمضيف المصاب. علاوة على ذلك، فإن تهديد Kazuar قد ينشئ كائن مزامنة فريدًا يعتمد على المعرف التسلسلي للقرص الصلب واسم المستخدم النشط. تعمل خطوة الهجوم هذه على اكتشاف ما إذا كان هناك نوعان مختلفان من البرنامج الضار Kazuar يعملان على الكمبيوتر المصاب. بمجرد اكتمال ذلك، ستواصل البرمجيات الخبيثة Kazuar الهجوم من خلال اكتساب الثبات على المضيف. يتم تحقيق ذلك عن طريق تعديل سجل Windows الخاص بالنظام. بعد ذلك، ستتصل البرمجيات الخبيثة Kazuar بخادم C&C (القيادة والتحكم) الخاص بمشغليها وتنتظر تلقي الأوامر منهم. من بين الميزات الرئيسية لبرنامج Kazuar الضار:

  • التقاط لقطات شاشة للنوافذ وسطح المكتب النشطين للمستخدم.
  • تنزيل الملفات.
  • تحميل الملفات.
  • تسجيل اللقطات عبر كاميرا النظام.
  • إدارة العمليات الجارية.
  • تنفيذ الأوامر عن بعد.
  • قائمة وإدارة المكونات الإضافية النشطة للتهديد.
  • تحديث نفسه وقائمته بخوادم القيادة والسيطرة.
  • التدمير الذاتي.

تسمح هذه القائمة الطويلة من القدرات لبرنامج Kazuar الضار بإحداث ضرر كبير لأي نظام يتمكن من التسلل إليه. نظرًا لأنه من المحتمل أن يكون منشئو تهديد Kazuar يعملون على تكرار متوافق مع OSX لهذه البرامج الضارة، فسيكون المزيد من المستخدمين معرضين للخطر. لحماية نظامك من الآفات مثل تهديد Kazuar، تأكد من تنزيل وتثبيت مجموعة برامج أصلية لمكافحة البرامج الضارة والتي ستعتني بأمنك السيبراني وتحافظ على أمان بياناتك.

تقوم شركة Turla بنشر نسخة جديدة من Kazuar ضد أهداف في أوكرانيا

منذ اكتشافه الأولي في عام 2017، ظهر Kazuar بشكل متقطع في البرية، مما أثر في المقام الأول على المنظمات داخل المجالات الحكومية والعسكرية الأوروبية. ويؤكد ارتباطه بالباب الخلفي Sunburst ، والذي يتضح من تشابه الكود، على طبيعته المتطورة. وبينما لم تظهر أي عينات جديدة من الكازوار منذ أواخر عام 2020، أشارت التقارير إلى أن جهود التطوير مستمرة في الظل.

يسلط تحليل كود Kazuar المحدث الضوء على الجهود المتضافرة التي بذلها منشئوه لتعزيز قدراته على التخفي والتهرب من آليات الكشف وإحباط مساعي التحليل. يتم تحقيق ذلك من خلال مجموعة من أساليب مكافحة التحليل المتقدمة إلى جانب تقنيات التشفير والتعتيم القوية لحماية سلامة كود البرامج الضارة.

الوظيفة الأساسية لمتغير البرامج الضارة Kazuar الجديد

بأسلوب Turla النموذجي، يستخدم Kazuar إستراتيجية استخدام مواقع الويب الشرعية المختطفة للبنية التحتية للقيادة والتحكم (C2)، وبالتالي تجنب عمليات الإزالة. بالإضافة إلى ذلك، يسهل Kazuar الاتصال عبر الأنابيب المسماة، وذلك باستخدام كلتا الطريقتين لتلقي الأوامر أو المهام عن بعد.

يتميز Kazuar بدعم 45 مهمة متميزة ضمن إطار عمل C2 الخاص به، وهو ما يمثل تقدمًا ملحوظًا في وظائفه مقارنة بالإصدارات السابقة. ولم توثق الأبحاث السابقة بعض هذه المهام. في المقابل، كان الإصدار الأولي من Kazuar الذي تم تحليله في عام 2017 يدعم 26 أمرًا من أوامر C2 فقط.

تشمل قائمة Kazuar للأوامر المعترف بها فئات مختلفة، بما في ذلك:

  • جمع البيانات المضيفة
  • توسيع نطاق جمع البيانات الجنائية
  • التلاعب بالملفات
  • تنفيذ الأوامر التعسفية
  • التفاعل مع إعدادات تكوين Kazuar
  • الاستعلام عن سجل Windows ومعالجته
  • تنفيذ البرامج النصية (VBS، PowerShell، JavaScript)
  • إرسال طلبات الشبكة المخصصة
  • سرقة بيانات الاعتماد والمعلومات الحساسة

تظل سرقة البيانات من بين أهم أولويات شركة Turla

يتمتع Kazuar بالقدرة على جمع بيانات الاعتماد من العديد من العناصر الموجودة داخل الكمبيوتر المخترق، والتي يتم تشغيلها بواسطة أوامر مثل "steal" أو "unattend" المستلمة من خادم Command-and-Control (C2). تشمل هذه القطع الأثرية العديد من التطبيقات السحابية المعروفة.

علاوة على ذلك، يستطيع Kazuar استهداف الملفات الحساسة التي تحتوي على بيانات اعتماد مرتبطة بهذه التطبيقات. ومن بين العناصر المستهدفة Git SCM (نظام التحكم بالمصادر الشائع بين المطورين) وSignal (منصة رسائل مشفرة للاتصالات الخاصة).

عند إنشاء سلسلة رسائل حل فريدة من نوعها، يبدأ Kazuar تلقائيًا مهمة واسعة النطاق لملف تعريف النظام، يطلق عليها منشئوها اسم "first_systeminfo_do". تستلزم هذه المهمة جمعًا شاملاً وتوصيفًا للنظام المستهدف. يقوم Kazuar بجمع معلومات شاملة حول الجهاز المصاب، بما في ذلك تفاصيل حول نظام التشغيل ومواصفات الأجهزة وتكوين الشبكة.

يتم تخزين البيانات التي تم جمعها في ملف "info.txt"، بينما يتم حفظ سجلات التنفيذ في ملف "logs.txt". بالإضافة إلى ذلك، وكجزء من هذه المهمة، تلتقط البرامج الضارة لقطة شاشة لشاشة المستخدم. يتم بعد ذلك تجميع كافة الملفات المجمعة في أرشيف واحد، وتشفيرها، وإرسالها إلى C2.

يقوم Kazuar بإنشاء مهام تلقائية متعددة على الأجهزة المصابة

يمتلك Kazuar القدرة على إنشاء إجراءات آلية يتم تنفيذها على فترات زمنية محددة مسبقًا بغرض استرجاع البيانات من الأنظمة المخترقة. تشمل هذه المهام الآلية مجموعة من الوظائف، بما في ذلك جمع معلومات النظام الشاملة كما هو مفصل في القسم الخاص بالتوصيف الشامل للنظام، والتقاط لقطات الشاشة، واستخراج بيانات الاعتماد، واسترداد بيانات الطب الشرعي، والحصول على بيانات التشغيل التلقائي، والحصول على الملفات من المجلدات المعينة، وتجميع قائمة من LNK وسرقة رسائل البريد الإلكتروني من خلال استخدام MAPI.

تمكن هذه الوظائف Kazuar من إجراء مراقبة منهجية واستخراج البيانات من الأجهزة المصابة، مما يمكّن الجهات الفاعلة الخبيثة من الحصول على عدد كبير من المعلومات الحساسة. ومن خلال الاستفادة من هذه المهام الآلية، يعمل Kazuar على تبسيط عملية الاستطلاع واستخلاص البيانات، مما يعزز فعاليتها كأداة للتجسس الإلكتروني والأنشطة الضارة.

تم تجهيز برنامج Kazuar Malware المحدث بقدرات واسعة النطاق لمكافحة التحليل

يستخدم Kazuar مجموعة متنوعة من التقنيات المتطورة المضادة للتحليل والمصممة بدقة لتجنب الكشف والتدقيق. يقوم Kazuar، الذي تمت برمجته من قبل منشئيه، بتعديل سلوكه ديناميكيًا بناءً على وجود أنشطة التحليل. عندما يقرر أنه لا يوجد تحليل جاري، يواصل Kazuar عملياته. ومع ذلك، إذا اكتشف أي إشارة إلى التصحيح أو التحليل، فإنه يدخل على الفور في حالة الخمول، مما يؤدي إلى إيقاف كافة الاتصالات مع خادم القيادة والتحكم (C2) الخاص به.

مكافحة الإغراق

وبالنظر إلى أن Kazuar يعمل كمكون محقون ضمن عملية أخرى وليس ككيان مستقل، فإن احتمال استخراج الكود الخاص به من ذاكرة العملية المضيفة يلوح في الأفق. ولمواجهة هذه الثغرة الأمنية، يستخدم Kazuar بمهارة ميزة قوية داخل .NET، وهي مساحة الاسم System.Reflection. تمنح هذه الإمكانية Kazuar القدرة على استرداد البيانات الوصفية المتعلقة بتجميعها وأساليبها ديناميكيًا والعناصر المهمة الأخرى في الوقت الفعلي، مما يعزز دفاعاتها ضد المساعي المحتملة لاستخراج التعليمات البرمجية.

بالإضافة إلى ذلك، يقوم Kazuar بتنفيذ إجراء دفاعي من خلال التحقق من تمكين إعداد antidump_methods. وفي مثل هذه الحالات، فإنه يتجاوز المؤشرات إلى أساليبه المخصصة مع تجاهل أساليب .NET العامة، مما يؤدي إلى مسحها بشكل فعال من الذاكرة. وكما يتضح من رسالة Kazuar المسجلة، فإن هذا النهج الاستباقي يعمل على إعاقة الباحثين من استخراج نسخة سليمة من البرامج الضارة، وبالتالي تعزيز مرونتها ضد التحليل والكشف.

فحص مصيدة العسل

من بين مهامه الأولية، يقوم Kazuar بمسح أي علامات على وجود مصائد جذب أثرية على الجهاز المستهدف. ولتحقيق ذلك، فإنه يشير إلى قائمة محددة مسبقًا بأسماء العمليات وأسماء الملفات، باستخدام أسلوب مضمن. إذا واجه Kazuar أكثر من خمس حالات من هذه الملفات أو العمليات المحددة، فإنه يسجل الاكتشاف على الفور كمؤشر على وجود مصيدة جذب.

فحص أدوات التحليل

يحتفظ Kazuar بقائمة من الأسماء المحددة مسبقًا والتي تمثل العديد من أدوات التحليل المستخدمة على نطاق واسع. ويقوم بمراجعة القائمة بشكل منهجي مقابل العمليات النشطة في النظام. عند اكتشاف تشغيل أي من هذه الأدوات، يقوم Kazuar على الفور بتسجيل النتيجة، مما يشير إلى وجود أدوات التحليل.

فحص وضع الحماية

تمتلك Kazuar مجموعة من مكتبات وضع الحماية المحددة مسبقًا والتي تم ترميزها ضمن نظامها. يقوم بإجراء عمليات فحص لتحديد ملفات DLL المحددة المرتبطة بخدمات وضع الحماية المختلفة. عند مواجهة هذه الملفات، استنتج كازور أنه يعمل ضمن بيئة معملية، مما دفعه إلى وقف عملياته.

مراقبة سجل الأحداث

يقوم Kazuar بشكل منهجي بجمع وتفسير الأحداث المسجلة في سجلات أحداث Windows. وهو يستهدف على وجه التحديد الأحداث التي تنشأ من مجموعة مختارة من موردي برامج مكافحة البرامج الضارة والأمن. يتماشى هذا التركيز المتعمد مع استراتيجيتها الخاصة بمراقبة الأنشطة المرتبطة بالمنتجات الأمنية المستخدمة على نطاق واسع في ظل الافتراض المعقول بأن هذه الأدوات سائدة بين الأهداف المحتملة.

لا تزال البرمجيات الخبيثة Kazuar تمثل تهديدًا كبيرًا في الفضاء الرقمي

يُظهر الإصدار الأحدث من البرنامج الضار Kazuar، والذي تم التعرف عليه مؤخرًا في البرية، العديد من السمات البارزة. فهو يشتمل على تقنيات قوية للتعتيم على التعليمات البرمجية والسلاسل جنبًا إلى جنب مع نموذج متعدد الخيوط لتحسين الأداء. علاوة على ذلك، يتم تنفيذ مجموعة من مخططات التشفير لحماية كود Kazuar من التحليل وإخفاء بياناته، سواء في الذاكرة أو أثناء النقل أو على القرص. تهدف هذه الميزات مجتمعة إلى منح باب Kazuar الخلفي مستوى عالٍ من التخفي.

بالإضافة إلى ذلك، يعرض هذا التكرار للبرامج الضارة وظائف متطورة لمكافحة التحليل وقدرات واسعة النطاق لملفات تعريف النظام. تجدر الإشارة إلى استهدافها المحدد للتطبيقات السحابية. علاوة على ذلك، يتميز هذا الإصدار من Kazuar بدعم مجموعة واسعة من أكثر من 40 أمرًا مختلفًا، نصفها غير موثق من قبل من قبل باحثي الأمن السيبراني.

كيفية الحماية من الكازوار

كما هو الحال مع أي نوع من التهديدات، فإن الشيء الرئيسي الذي يمكنك القيام به لحماية جهاز الكمبيوتر الخاص بك هو تجنب فتح مرفقات وروابط البريد الإلكتروني. لا تتفاعل مع البريد الإلكتروني إذا كنت لا تعرف مصدره. تأكد أيضًا من عمل نسخة احتياطية من بياناتك الأكثر أهمية بانتظام. من المفيد أيضًا الحصول على نسخ احتياطية متعددة، فكلما زاد عدد النسخ الاحتياطية لديك، زادت فرصك في إعادة الأمور إلى طبيعتها في حالة وجود Kazuar أو برامج ضارة أخرى.

وأخيرًا وليس آخرًا، تريد التأكد من تحديث جميع برامجك وتطبيقاتك. لا تنس تحديث نظام التشغيل الخاص بك بانتظام. تزدهر تهديدات الكمبيوتر من خلال عمليات استغلال أنظمة التشغيل والبرامج، لذا لا تدعها تستمر.

الشائع

الأكثر مشاهدة

احتيال البريد الإلكتروني "Geek Squad"

Phishing, Spam
36,927
أصبح Geek Squad ، وهو مزود دعم تقني شهير ، ضحية لعملية احتيال تصيد احتيالية تسمى Geek Squad Email الاحتيال. تستخدم عملية احتيال الدعم الفني هذه رسائل بريد إلكتروني مزيفة تخدع الأشخاص للتخلي عن معلوماتهم الشخصية ، مثل تفاصيل بطاقة الائتمان وعناوين البريد الإلكتروني وحتى أرقام الضمان الاجتماعي. في هذه المقالة ، سنناقش عملية الاحتيال نفسها ، وشكلها ، ومن أين تأتي رسائل البريد الإلكتروني المزيفة ،...
جار التحميل...