Multi-License Discount Quote
Base de dades d'amenaces Backdoors Kazuar

Kazuar

El GoldSparrow el Backdoors
Traduir a:
Català

Els investigadors han descobert un troià de porta posterior anomenat Kazuar. Es va trobar que Kazuar estava vinculat a una campanya d'espionatge i sembla que estava escrit amb Microsoft .NET Framework. Kazuar permet als atacants obtenir accés complet a un sistema compromès.

Kazuar té diverses funcions i ordres potencials, inclosa la possibilitat de carregar connectors de forma remota. Aquests connectors donen al troià més capacitats i el fan més una amenaça. També hi havia codi a la tensió observada que suggeria que hi havia versions de Kazuar per Linux i Mac al món. Una cosa que destaca de Kazuar és que funciona mitjançant una interfície de programació d'aplicacions (API) connectada a un servidor web, i pot ser el primer (i únic) virus que actuï d'aquesta manera.

Qui hi ha darrere de Kazuar?

Els investigadors creuen que Kazuar està vinculat a Turla , un grup APT (Advanced Persistent Threat), també conegut per operar sota els noms de Snake i Uroburos . Turla és conegut per les seves capacitats avançades i per ser un grup d'amenaces cibernètiques amb seu a Rússia de llarga data amb presumptes vincles amb el Servei de Seguretat Federal de Rússia (FSB). El grup apunta ambaixades, institucions educatives, contractistes de defensa i organitzacions de recerca amb els seus atacs. Turla té una mica de signatura al seu codi que identifica les eines com a seves, i el codi utilitzat per Kazuar es remunta al 2005, com a mínim.

Turla ha utilitzat diverses eines en el seu temps, la majoria de les quals es despleguen en la segona etapa dels atacs en entorns compromesos. Kazuar podria ser una nova manera en què el grup Turla gestiona les operacions.

Què fa Kazuar?

Kazuar és un troià de porta posterior, que és una de les categories més grans d'amenaces digitals. Els troians de la porta posterior poden ser programes cars i complets amb una varietat de capacitats, o poden ser programes simples que no fan res més que fer ping a un servidor. Kazuar, en particular, anomenat així per l'ocell casuari del sud-est asiàtic, és més aviat un troià tradicional de la porta del darrere. Tot i que Kazuar és relativament bàsic, té algunes característiques ocultes que el converteixen en una amenaça més que els troians típics de la porta posterior com PowerStallion o Neuron .

Kazuar es proposa evitar ser detectat mentre els pirates informàtics de Turla recullen informació dels seus objectius. Tot i que Kazuar és una aplicació .NET Framework, també té funcions que la fan compatible amb sistemes Mac i Unix/Linux. Fins ara, però, només s'han detectat variants de Windows a la natura.

Fes una ullada al codi de Kazuar i veuràs quanta feina s'ha fet en aquest virus. Kazuar té una rutina de configuració millorada i és capaç d'adaptar-se a ordinadors vulnerables establint la persistència mitjançant diversos mètodes. El virus crea DLL i explota els serveis de Windows i les funcions de .NET Framework per romandre en un ordinador. Un cop el virus estigui en funcionament, donarà a l'atacant informació sobre l'ordinador objectiu i deixarà que prengui el control. Els atacants poden carregar fitxers, fer captures de pantalla, activar càmeres web, copiar dades, llançar fitxers executables i realitzar altres tasques mitjançant mòduls opcionals.

Val la pena tenir en compte la funció de l'API. Virus com aquest es connecten principalment als servidors de comandament i control (servidors C2) i esperen instruccions. Kazuar destaca perquè pot crear un servidor web sempre escoltant que ajuda el virus a evitar tallafocs i deteccions anti-malware.

Com infecta Kazuar els ordinadors?

El programari maliciós Kazuar infecta els ordinadors mitjançant diversos mètodes diferents. Els més comuns són paquets de programari maliciós, correu brossa, intercanvi de xarxes, enllaços maliciosos i accés a unitats flash infectades. Kazuar segur que causarà una quantitat massiva de danys un cop s'instal·li al vostre ordinador.

Les víctimes han informat d'haver de fer front a fallades del disc dur, accidents freqüents, aplicacions danyades i molt més. Això no vol dir res del dany real que podria fer en termes de pèrdua financera o robatori d'identitat. Hauríeu de prendre mesures per protegir-vos contra Kazuar i eliminar qualsevol infecció tan aviat com pugueu.

En infectar un dispositiu objectiu, el programari maliciós Kazuar recopilaria informació sobre el programari i el maquinari de l'amfitrió infectat. A més, l'amenaça Kazuar generaria un mutex únic basat en l'identificador de sèrie del disc dur i el nom d'usuari de l'usuari actiu. Aquest pas de l'atac serveix per detectar si hi ha dues variants del malware Kazuar que s'executen a l'ordinador infectat. Un cop s'hagi completat, el programari maliciós Kazuar continuarà amb l'atac guanyant persistència a l'amfitrió. Això s'aconsegueix modificant el Registre de Windows del sistema. A continuació, el programari maliciós Kazuar es connectarà al servidor C&C (Command & Control) dels seus operadors i esperaria que els donen ordres. Entre les principals característiques del malware Kazuar hi ha:

  • Fer captures de pantalla de les finestres actives i de l'escriptori de l'usuari.
  • Descàrrega d'arxius.
  • Carregant fitxers.
  • Gravació d'imatges mitjançant la càmera del sistema.
  • Gestió de processos en execució.
  • Execució d'ordres remotes.
  • Llistar i gestionar els connectors actius de l'amenaça.
  • Actualització de si mateix i la seva llista de servidors C&C.
  • Autodestrucció.

    • Aquesta llarga llista de capacitats permet que el programari maliciós Kazuar causi danys importants a qualsevol sistema al qual aconsegueixi infiltrar-se. Com que és probable que els creadors de l'amenaça Kazuar estiguin treballant en una iteració compatible amb OSX d'aquest programari maliciós, encara més usuaris estaran en risc. Per protegir el vostre sistema de plagues com l'amenaça Kazuar, assegureu-vos de descarregar i instal·lar un programari anti-malware genuí que s'encarregarà de la vostra ciberseguretat i mantindrà les vostres dades segures.

    Turla desplega una nova variant de Kazuar contra objectius a Ucraïna

    Des de la seva detecció inicial el 2017, Kazuar ha aparegut esporàdicament en estat salvatge, afectant principalment a organitzacions dins les esferes governamentals i militars europees. La seva connexió amb la porta del darrere de Sunburst , evidenciada per les similituds de codi, subratlla la seva naturalesa sofisticada. Tot i que no han aparegut mostres noves de Kazuar des de finals del 2020, els informes suggereixen esforços de desenvolupament en curs a l'ombra.

    L'anàlisi del codi Kazuar actualitzat posa de manifest un esforç concertat dels seus creadors per millorar les seves capacitats de sigil, eludir els mecanismes de detecció i frustrar els esforços d'anàlisi. Això s'aconsegueix mitjançant una sèrie de mètodes avançats d'antianàlisi juntament amb tècniques robustes d'encriptació i ofuscació per salvaguardar la integritat del codi de programari maliciós.

    La funcionalitat bàsica de la nova variant de programari maliciós Kazuar

    De la manera típica de Turla, Kazuar utilitza una estratègia d'utilitzar llocs web legítims segrestats per a la seva infraestructura de comandament i control (C2), evitant així les retirades. A més, Kazuar facilita la comunicació a través de canonades amb nom, utilitzant ambdós mètodes per rebre ordres o tasques remotes.

    Kazuar compta amb suport per a 45 tasques diferents dins del seu marc C2, cosa que representa un avenç notable en la seva funcionalitat en comparació amb les versions anteriors. Les investigacions anteriors no havien documentat algunes d'aquestes tasques. En canvi, la variant inicial de Kazuar analitzada el 2017 només admetia 26 ordres C2.

    La llista d'ordres reconegudes de Kazuar abasta diverses categories, com ara:

    • Recollida de dades de l'amfitrió
    • Recollida de dades forenses ampliada
    • Manipulació de fitxers
    • Execució d'ordres arbitràries
    • Interacció amb la configuració de Kazuar
  • Consulta i manipulació del registre de Windows
  • Execució d'scripts (VBS, PowerShell, JavaScript)
  • Enviament de sol·licituds de xarxa personalitzades
  • Robatori de credencials i informació sensible

    • El robatori de dades segueix sent una de les principals prioritats de Turla

    Kazuar té la capacitat de recollir credencials de diversos artefactes dins de l'ordinador compromès, activats per ordres com ara "robar" o "desatentar" rebudes del servidor d'ordres i control (C2). Aquests artefactes engloben nombroses aplicacions al núvol conegudes.

    A més, Kazuar pot orientar fitxers sensibles que contenen credencials associades a aquestes aplicacions. Entre els artefactes objectiu es troben Git SCM (un sistema de control de fonts popular entre els desenvolupadors) i Signal (una plataforma de missatgeria xifrada per a la comunicació privada).

    En generar un fil de solucionador únic, Kazuar inicia automàticament una extensa tasca de perfil del sistema, anomenada "first_systeminfo_do" pels seus creadors. Aquesta tasca implica la recopilació i l'elaboració de perfils exhaustius del sistema objectiu. Kazuar recopila informació completa sobre la màquina infectada, inclosos detalls sobre el sistema operatiu, les especificacions del maquinari i la configuració de la xarxa.

    Les dades recollides s'emmagatzemen en un fitxer 'info.txt', mentre que els registres d'execució es guarden en un fitxer 'logs.txt'. A més, com a part d'aquesta tasca, el programari maliciós captura una captura de pantalla de la pantalla de l'usuari. Tots els fitxers recollits s'agrupen en un únic arxiu, es xifren i s'envien al C2.

    Kazuar estableix múltiples tasques automatitzades en els dispositius infectats

    Kazuar té la capacitat d'establir procediments automatitzats que s'executen a intervals predefinits amb la finalitat de recuperar dades dels sistemes compromesos. Aquestes tasques automatitzades engloben una sèrie de funcions, com ara la recopilació d'informació completa del sistema tal com es detalla a la secció sobre Perfil integral del sistema, captura de captures de pantalla, extracció de credencials, recuperació de dades forenses, adquisició de dades d'execució automàtica, obtenció de fitxers de carpetes designades, compilació d'una llista de Fitxers LNK i robatori de correus electrònics mitjançant l'ús de MAPI.

    Aquestes funcionalitats permeten a Kazuar dur a terme una vigilància sistemàtica i l'extracció de dades de les màquines infectades, donant poder als actors maliciosos amb una gran quantitat d'informació sensible. Aprofitant aquestes tasques automatitzades, Kazuar agilitza el procés de reconeixement i d'exfiltració de dades, millorant la seva eficàcia com a eina per a l'espionatge cibernètic i l'activitat maliciosa.

    El programari maliciós Kazuar actualitzat està equipat amb àmplies capacitats antianàlisi

    Kazuar utilitza una varietat de tècniques antianàlisi sofisticades dissenyades meticulosament per evitar la detecció i l'escrutini. Programat pels seus creadors, Kazuar ajusta dinàmicament el seu comportament en funció de la presència d'activitats d'anàlisi. Quan determina que no hi ha cap anàlisi en curs, Kazuar continua amb les seves operacions. Tanmateix, si detecta qualsevol indici de depuració o anàlisi, immediatament entra en un estat d'inactivitat, aturant tota comunicació amb el seu servidor de comandament i control (C2).

    Anti-Dumping

    Atès que Kazuar opera com un component injectat dins d'un altre procés més que com una entitat autònoma, es planteja la possibilitat d'extreure el seu codi de la memòria del procés amfitrió. Per contrarestar aquesta vulnerabilitat, Kazuar fa un ús adequat d'una característica robusta dins de .NET, l'espai de noms System.Reflection. Aquesta capacitat atorga a Kazuar l'agilitat per recuperar metadades relatives al seu muntatge, mètodes dinàmics i altres elements crítics en temps real, reforçant les seves defenses contra possibles esforços d'extracció de codi.

    A més, Kazuar implementa una mesura defensiva examinant si la configuració antidump_methods està habilitada. En aquests casos, anul·la els punters als seus mètodes personalitzats i no té en compte els mètodes genèrics .NET, esborrant-los de manera efectiva de la memòria. Tal com demostra el missatge registrat de Kazuar, aquest enfocament proactiu serveix per impedir que els investigadors extreguin una versió intacta del programari maliciós, millorant així la seva resistència davant l'anàlisi i la detecció.

    Honeypot Check

    Entre les seves tasques inicials, Kazuar busca amb diligència qualsevol signe d'artefactes de pot de mel a la màquina objectiu. Per aconseguir-ho, fa referència a una llista predefinida de noms de processos i de fitxers, utilitzant un enfocament codificat. Si Kazuar troba més de cinc instàncies d'aquests fitxers o processos especificats, registra ràpidament el descobriment com a indicatiu de la presència d'un honeypot.

    Comprovació d'eines d'anàlisi

    Kazuar manté una llista de noms predefinits que representen diverses eines d'anàlisi àmpliament utilitzades. Revisa sistemàticament la llista amb els processos actius del sistema. En detectar el funcionament de qualsevol d'aquestes eines, Kazuar registra ràpidament la troballa, indicant la presència d'eines d'anàlisi.

    Comprovació de la caixa de sorra

    Kazuar posseeix un conjunt de biblioteques sandbox predeterminades codificades al seu sistema. Realitza exploracions per identificar DLL específiques associades a diversos serveis de sandbox. En trobar-se amb aquests fitxers, Kazuar conclou que s'està executant dins d'un entorn de laboratori, la qual cosa el va portar a cessar les seves operacions.

    Monitor de registre d'esdeveniments

    Kazuar recopila i interpreta sistemàticament els esdeveniments registrats als registres d'esdeveniments de Windows. S'adreça específicament als esdeveniments originats per una selecció de proveïdors de seguretat i anti-malware. Aquest enfocament deliberat s'alinea amb la seva estratègia de supervisió d'activitats associades a productes de seguretat àmpliament utilitzats sota el supòsit plausible que aquestes eines són freqüents entre els objectius potencials.

    El programari maliciós Kazuar continua representant una amenaça important a l'espai digital

    L'última variant del programari maliciós Kazuar, identificada recentment a la natura, mostra diversos atributs notables. Incorpora tècniques robustes d'ofuscament de cadenes i codis juntament amb un model multiprocés per millorar el rendiment. A més, s'implementa una sèrie d'esquemes de xifratge per protegir el codi de Kazuar de l'anàlisi i per ocultar les seves dades, ja sigui a la memòria, durant la transmissió o al disc. Aquestes característiques tenen com a objectiu col·lectivament dotar la porta del darrere de Kazuar amb un nivell elevat de sigil.

    A més, aquesta iteració del programari maliciós presenta funcionalitats antianàlisi sofisticades i àmplies capacitats de creació de perfils del sistema. Cal destacar la seva orientació específica a les aplicacions al núvol. A més, aquesta versió de Kazuar compta amb suport per a una àmplia gamma de més de 40 ordres diferents, la meitat d'elles no documentades prèviament pels investigadors de ciberseguretat.

    Com protegir-se contra Kazuar

    Com amb qualsevol tipus d'amenaça, el més important que podeu fer per protegir el vostre ordinador és evitar obrir fitxers adjunts i enllaços de correu electrònic. No interaccionis amb el correu electrònic si no saps d'on prové. A més, assegureu-vos de fer còpies de seguretat de les vostres dades més importants amb regularitat. També ajuda tenir diverses còpies de seguretat, ja que com més còpies de seguretat tinguis, més probabilitats de tornar a la normalitat en cas de Kazuar o un altre programari maliciós.

    Finalment, però no menys important, voleu assegurar-vos que tots els vostres programes i aplicacions estiguin actualitzats. No oblideu actualitzar el vostre sistema operatiu amb massa regularitat. Les amenaces informàtiques es desenvolupen a través d'explotacions en sistemes operatius i programari, així que no els deixeu quedar.

    Tendència

    Més vist

    Carregant...