Kazuar

Изследователите са открили троянец със заден ход, наречен Kazuar. Установено е, че Kazuar е свързан с шпионска кампания и изглежда, че е написан с Microsoft .NET Framework. Kazuar позволява на нападателите да получат пълен достъп до компрометирана система.

Kazuar има няколко потенциални функции и команди, включително възможност за отдалечено зареждане на добавки. Тези добавки дават на троянския кон по-големи възможности и го правят по-голяма заплаха. Имаше и код в наблюдавания щам, който предполагаше, че има Linux и Mac версии на Kazuar в света. Едно нещо, което се откроява за Kazuar е, че той работи чрез интерфейс за програмиране на приложения (API), свързан към уеб сървър, и може да е първият – и единствен – вирус, който действа по такъв начин.

Кой стои зад Kazuar?

Изследователите смятат, че Kazuar е свързан с Turla , APT (Advanced Persistent Threat) група, известна също като действаща под имената Snake и Uroburos . Turla е известна със своите усъвършенствани възможности и е дългогодишна базирана в Русия група за киберзаплахи с предполагаеми връзки с руската Федерална служба за сигурност (FSB). Групата е насочена към посолства, образователни институции, изпълнители на отбраната и изследователски организации с техните атаки. Turla има нещо като подпис в техния код, който идентифицира инструментите като техни, а кодът, използван за Kazuar, може да бъде проследен най-малко до 2005 г.

Turla са използвали редица инструменти в своето време, повечето от които са разгърнати на втория етап на атаки в компрометирана среда. Kazuar може да бъде един нов начин, по който групата Turla управлява операциите.

Какво прави Kazuar?

Kazuar е заден троянски кон, който е една от най-големите категории цифрови заплахи. Задните троянски коне могат да бъдат скъпи и всеобхватни програми с набор от възможности или могат да бъдат прости програми, които не правят нищо друго освен пинг на сървър. Kazuar, по-специално, кръстен на птицата казуар от Югоизточна Азия, е по-скоро традиционен троянец със задната врата. Въпреки че Kazuar е сравнително елементарен, той има някои скрити функции, които го правят по-голяма заплаха от типичните задни троянски коне като PowerStallion или Neuron .

Kazuar се стреми да избегне разкриването си, докато хакерите на Turla събират информация от своите цели. Въпреки че Kazuar е приложение на .NET Framework, то също има функции, които го правят съвместимо с Mac и Unix/Linux системи. Досега обаче в дивата природа са забелязани само варианти на Windows.

Разгледайте кода на Kazuar и ще видите колко много работа е вложена в този вирус. Kazuar има подобрена рутинна настройка и е в състояние да се адаптира към уязвими компютри чрез установяване на устойчивост чрез редица методи. Вирусът създава DLL файлове и използва услугите на Windows и функциите на .NET Framework, за да остане на компютър. След като вирусът започне да работи, той ще даде на атакуващия информация за целевия компютър и ще му позволи да поеме контрола. Нападателите могат да качват файлове, да правят екранни снимки, да активират уеб камери, да копират данни, да стартират изпълними файлове и да изпълняват други задачи чрез допълнителни модули.

Струва си да обърнете внимание на функцията API. Вируси като този основно се свързват със сървъри за командване и контрол (C2 сървъри) и чакат инструкции. Kazuar се откроява, защото може да създаде постоянно слушащ уеб сървър, който помага на вируса да избягва защитни стени и откривания на злонамерен софтуер.

Как Kazuar заразява компютрите?

Зловреден софтуер Kazuar заразява компютри чрез няколко различни метода. Най-често срещаните са злонамерени софтуерни пакети, имейл спам, мрежово споделяне, злонамерени връзки и достъп до заразени флаш устройства. Kazuar със сигурност ще причини огромно количество щети, след като попадне на вашия компютър.

Жертвите съобщават, че трябва да се справят с повреда на твърдия диск, чести сривове, повредени приложения и др. Това не означава нищо за действителната вреда, която може да причини по отношение на финансови загуби или кражба на самоличност. Трябва да предприемете стъпки, за да се предпазите от Kazuar и да премахнете всяка инфекция възможно най-скоро.

При заразяване на целево устройство зловредният софтуер Kazuar ще събере информация относно софтуера и хардуера на заразения хост. Освен това заплахата Kazuar ще генерира уникален мютекс въз основа на серийния идентификатор на твърдия диск и потребителското име на активния потребител. Тази стъпка от атаката служи за откриване дали има два варианта на зловреден софтуер Kazuar, работещ на заразения компютър. След като това приключи, злонамереният софтуер Kazuar ще продължи с атаката, като придобие устойчивост на хоста. Това се постига чрез модифициране на системния регистър на Windows. След това злонамереният софтуер Kazuar ще се свърже с C&C (Command & Control) сървър на своите оператори и ще изчака да получи команди от тях. Сред основните характеристики на зловреден софтуер Kazuar е:

• Правене на екранни снимки на активните прозорци и работния плот на потребителя.
• Изтегляне на файлове.
• Качване на файлове.
• Запис на кадри през камерата на системата.
• Управление на работещи процеси.
• Изпълнение на дистанционни команди.
• Изброяване и управление на активни плъгини на заплахата.
• Актуализиране на себе си и неговия списък с C&C сървъри.

• Самоунищожаващ се.

Този дълъг списък от възможности позволява на злонамерения софтуер Kazuar да причини значителни щети на всяка система, която успее да проникне. Тъй като е вероятно създателите на заплахата Kazuar да работят върху OSX-съвместима итерация на този зловреден софтуер, още повече потребители ще бъдат изложени на риск. За да защитите системата си от вредители като заплахата Kazuar, не забравяйте да изтеглите и инсталирате оригинален софтуерен пакет против злонамерен софтуер, който ще се погрижи за вашата киберсигурност и ще защити данните ви.

Turla разгръща нов вариант Kazuar срещу цели в Украйна

От първоначалното си откриване през 2017 г. Kazuar се появява спорадично в дивата природа, засягайки предимно организации в европейските правителствени и военни сфери. Връзката му със задна вратичка Sunburst , доказана от прилики в кодове, подчертава сложната му природа. Въпреки че от края на 2020 г. не са се появили нови образци на Kazuar, докладите предполагат продължаващи усилия за развитие в сенките.

Анализът на актуализирания код на Kazuar подчертава съгласуваните усилия на неговите създатели да подобрят способностите му за стелт, да избягват механизмите за откриване и да осуетят усилията за анализ. Това се постига чрез редица усъвършенствани методи за анти-анализ, съчетани със стабилно криптиране и техники за обфускация, за да се защити целостта на кода на зловреден софтуер.

Основната функционалност на новия вариант на зловреден софтуер Kazuar

Типично за Турла, Kazuar използва стратегия за използване на отвлечени законни уебсайтове за своята инфраструктура за командване и контрол (C2), като по този начин избягва свалянето. Освен това Kazuar улеснява комуникацията през наименувани канали, като използва и двата метода за получаване на отдалечени команди или задачи.

Kazuar може да се похвали с поддръжка за 45 отделни задачи в рамките на своята C2 рамка, което представлява забележителен напредък в неговата функционалност в сравнение с по-ранните версии. Предишни изследвания не са документирали някои от тези задачи. За разлика от това, първоначалният вариант на Kazuar, анализиран през 2017 г., поддържаше само 26 C2 команди.

Списъкът с разпознати команди на Kazuar обхваща различни категории, включително:

• Събиране на данни за хост
• Разширено събиране на криминалистични данни
• Манипулиране на файлове
• Изпълнение на произволни команди
• Взаимодействие с конфигурационните настройки на Kazuar
• Запитване и манипулиране на системния регистър на Windows

• Изпълнение на скриптове (VBS, PowerShell, JavaScript)

• Изпращане на персонализирани мрежови заявки

• Кражба на идентификационни данни и чувствителна информация

Кражбата на данни остава сред основните приоритети за Turla

Kazuar притежава способността да събира идентификационни данни от различни артефакти в рамките на компрометирания компютър, задействани от команди като „кражба“ или „без наблюдение“, получени от сървъра за командване и управление (C2). Тези артефакти обхващат множество добре познати облачни приложения.

Освен това Kazuar може да насочва към чувствителни файлове, съдържащи идентификационни данни, свързани с тези приложения. Сред целевите артефакти са Git SCM (популярна система за контрол на източника сред разработчиците) и Signal (криптирана платформа за съобщения за лична комуникация).

При създаването на уникална нишка за решаване, Kazuar автоматично инициира обширна задача за профилиране на системата, наречена „first_systeminfo_do“ от нейните създатели. Тази задача включва цялостно събиране и профилиране на целевата система. Kazuar събира изчерпателна информация за заразената машина, включително подробности за операционната система, хардуерни спецификации и мрежова конфигурация.

Събраните данни се съхраняват във файл „info.txt“, докато регистрационните файлове за изпълнение се записват във файл „logs.txt“. Освен това, като част от тази задача, зловредният софтуер заснема екранна снимка на екрана на потребителя. След това всички събрани файлове се групират в един архив, криптират се и се изпращат до C2.

Kazuar установява множество автоматизирани задачи на заразените устройства

Kazuar притежава способността да установява автоматизирани процедури, които се изпълняват на предварително определени интервали с цел извличане на данни от компрометирани системи. Тези автоматизирани задачи обхващат набор от функции, включително събиране на изчерпателна системна информация, както е описано подробно в раздела за Цялостно профилиране на системата, заснемане на екранни снимки, извличане на идентификационни данни, извличане на криминалистични данни, получаване на данни за автоматично изпълнение, получаване на файлове от определени папки, съставяне на списък с LNK файлове и кражба на имейли чрез използването на MAPI.

Тези функционалности позволяват на Kazuar да извършва систематично наблюдение и извличане на данни от заразени машини, като предоставя на злонамерените участници множество чувствителна информация. Използвайки тези автоматизирани задачи, Kazuar рационализира процеса на разузнаване и ексфилтриране на данни, повишавайки ефективността си като инструмент за кибер шпионаж и злонамерена дейност.

Актуализираният зловреден софтуер Kazuar е снабден с широки възможности за анти-анализ

Kazuar използва разнообразие от усъвършенствани техники за антианализ, щателно проектирани да избегнат откриването и проверката. Програмиран от своите създатели, Kazuar динамично коригира поведението си въз основа на наличието на дейности за анализ. Когато установи, че не се извършва анализ, Kazuar продължава с операциите си. Въпреки това, ако открие някаква индикация за отстраняване на грешки или анализ, той незабавно влиза в неактивно състояние, спирайки цялата комуникация със своя сървър за командване и контрол (C2).

Антидъмпинг

Като се има предвид, че Kazuar работи като инжектиран компонент в рамките на друг процес, а не като автономна единица, перспективата за извличане на неговия код от паметта на хост процеса се очертава. За да противодейства на тази уязвимост, Kazuar умело използва стабилна функция в рамките на .NET, System.Reflection Namespace. Тази способност предоставя на Kazuar гъвкавостта да извлича метаданни, отнасящи се до неговото сглобяване, динамични методи и други критични елементи в реално време, укрепвайки защитата му срещу потенциални опити за извличане на код.

Освен това Kazuar прилага защитна мярка, като проверява дали настройката antidump_methods е активирана. В такива случаи той отменя указателите към своите специални методи, като същевременно пренебрегва общите .NET методи, като ефективно ги изтрива от паметта. Както се вижда от регистрираното съобщение на Kazuar, този проактивен подход служи за възпрепятстване на изследователите от извличането на непокътната версия на зловреден софтуер, като по този начин повишава неговата устойчивост срещу анализ и откриване.

Honeypot Проверка

Сред първоначалните си задачи Kazuar усърдно сканира за признаци на артефакти на honeypot на целевата машина. За да постигне това, той препраща към предварително дефиниран списък с имена на процеси и имена на файлове, използвайки твърдо кодиран подход. Ако Kazuar срещне повече от пет екземпляра на тези определени файлове или процеси, той незабавно записва откритието като показателно за присъствие на honeypot.

Проверка на инструменти за анализ

Kazuar поддържа списък с предварително дефинирани имена, представляващи различни широко използвани инструменти за анализ. Той систематично преглежда списъка спрямо активните процеси в системата. При откриване на работата на някой от тези инструменти, Kazuar незабавно регистрира находката, показвайки наличието на инструменти за анализ.

Проверка на пясъчника

Kazuar притежава набор от предварително определени библиотеки на пясъчна среда, твърдо кодирани в неговата система. Той извършва сканиране, за да идентифицира специфични DLL файлове, свързани с различни услуги на пясъчник. След като се натъква на тези файлове, Kazuar заключава, че работи в лабораторна среда, което го подтиква да прекрати операциите си.

Монитор на регистъра на събитията

Kazuar систематично събира и интерпретира събития, записани в регистрационните файлове на Windows. Той специално е насочен към събития, произтичащи от селекция от доставчици на анти-зловреден софтуер и сигурност. Този умишлен фокус е в съответствие с неговата стратегия за наблюдение на дейности, свързани с широко използвани продукти за сигурност при правдоподобното предположение, че тези инструменти преобладават сред потенциалните цели.

Зловреден софтуер Kazuar продължава да представлява голяма заплаха в цифровото пространство

Най-новият вариант на зловреден софтуер Kazuar, наскоро идентифициран в дивата природа, демонстрира няколко забележителни атрибута. Той включва стабилен код и техники за обфускация на низове заедно с многонишков модел за подобрена производителност. Освен това се прилага набор от схеми за криптиране, за да се защити кодът на Kazuar от анализ и да се скрият неговите данни, независимо дали в паметта, по време на предаване или на диск. Тези характеристики заедно имат за цел да осигурят на Kazuar задната врата с повишено ниво на стелт.

Освен това тази итерация на зловреден софтуер показва усъвършенствани функционалности за анти-анализ и обширни възможности за профилиране на системата. Неговото специфично насочване към облачни приложения е забележително. Освен това, тази версия на Kazuar може да се похвали с поддръжка на широк набор от над 40 различни команди, като половината от тях досега не са били документирани от изследователи на киберсигурността.

Как да се предпазите от Kazuar

Както при всеки вид заплаха, основното нещо, което можете да направите, за да защитите компютъра си, е да избягвате отварянето на прикачени файлове и връзки към имейл. Не взаимодействайте с имейла, ако не знаете откъде идва. Освен това не забравяйте редовно да архивирате най-важните си данни. Помага и да имате множество резервни копия, тъй като колкото повече архиви имате, толкова по-големи са шансовете ви да върнете нещата към нормалното в случай на Kazuar или друг зловреден софтуер.

Не на последно място, искате да сте сигурни, че всичките ви програми и приложения са актуални. Не забравяйте да актуализирате вашата операционна система твърде редовно. Компютърните заплахи процъфтяват чрез експлойти в операционни системи и софтуер, така че не ги оставяйте да се задържат.