Multi-License Discount Quote
پایگاه داده تهدید Backdoors Kazuar

Kazuar

تا GoldSparrow در Backdoors
ترجمه به:
فارسی

محققان یک تروجان پشتی به نام Kazuar را کشف کردند. مشخص شد که Kazuar به یک کمپین جاسوسی مرتبط است و به نظر می رسد که با Microsoft .NET Framework نوشته شده است. Kazuar به مهاجمان اجازه می دهد تا به یک سیستم در معرض خطر دسترسی کامل داشته باشند.

Kazuar دارای چندین عملکرد و دستورات بالقوه است، از جمله توانایی بارگذاری افزونه ها از راه دور. این افزونه ها قابلیت های بیشتری به تروجان می دهند و آن را بیشتر تهدید می کنند. همچنین کدی در نوع مشاهده‌شده وجود داشت که نشان می‌داد نسخه‌های لینوکس و مک Kazuar در جهان وجود دارد. یکی از چیزهایی که در مورد Kazuar متمایز می شود این است که از طریق یک رابط برنامه نویسی کاربردی (API) متصل به یک وب سرور کار می کند و ممکن است اولین – و تنها – ویروسی باشد که به این روش عمل می کند.

چه کسی پشت کازوره است؟

محققان بر این باورند که Kazuar با Turla ، یک گروه APT (تهدید دائمی پیشرفته) مرتبط است که با نام‌های Snake و Uroburos نیز شناخته می‌شود. تورلا به دلیل قابلیت‌های پیشرفته‌اش و به عنوان یک گروه تهدید سایبری قدیمی مستقر در روسیه با ارتباط ادعایی با سرویس امنیت فدرال روسیه (FSB) شناخته شده است. این گروه سفارتخانه ها، مؤسسات آموزشی، پیمانکاران دفاعی و سازمان های تحقیقاتی را هدف حملات خود قرار می دهد. تورلا چیزی شبیه به امضا در کد خود دارد که ابزارها را به عنوان ابزار آنها شناسایی می کند، و کد استفاده شده برای Kazuar را می توان حداقل به سال 2005 ردیابی کرد.

Turla در زمان خود از تعدادی ابزار استفاده کرده است که بیشتر آنها در مرحله دوم حملات در محیط های در معرض خطر مستقر می شوند. کازوار می تواند یکی از راه های جدیدی باشد که گروه تورلا در حال انجام عملیات است.

کازوار چه می کند؟

Kazuar یک تروجان درب پشتی است که یکی از بزرگترین دسته تهدیدات دیجیتال است. تروجان های Backdoor می توانند برنامه های گران قیمت و جامع با طیف وسیعی از قابلیت ها باشند، یا می توانند برنامه های ساده ای باشند که کاری جز پینگ کردن یک سرور انجام نمی دهند. کازوار، به ویژه، که به خاطر پرنده کاسواری آسیای جنوب شرقی نامگذاری شده است، بیشتر یک تروجان در پشتی سنتی است. در حالی که Kazuar نسبتاً ابتدایی است، دارای برخی ویژگی‌های پنهان است که آن را بیشتر از تروجان‌های در پشتی معمولی مانند PowerStallion یا Neuron تهدید می‌کند.

کازوار قصد دارد از شناسایی شدن جلوگیری کند زیرا هکرهای Turla اطلاعاتی را از اهداف خود جمع آوری می کنند. اگرچه Kazuar یک برنامه .NET Framework است، اما دارای ویژگی هایی است که آن را با سیستم های مک و یونیکس/لینوکس سازگار می کند. با این حال، تاکنون تنها انواع ویندوز در طبیعت دیده شده است.

به کد Kazuar نگاهی بیندازید، و خواهید دید که چقدر برای این ویروس کار شده است. Kazuar دارای یک روال تنظیم پیشرفته است و می تواند با ایجاد پایداری از طریق تعدادی روش، با رایانه های آسیب پذیر سازگار شود. این ویروس DLL ها را ایجاد می کند و از خدمات ویندوز و توابع دات نت فریم ورک برای ماندن در رایانه سوء استفاده می کند. هنگامی که ویروس راه اندازی و اجرا می شود، اطلاعات مربوط به رایانه مورد نظر را به مهاجم می دهد و به آنها اجازه می دهد کنترل را در دست بگیرند. مهاجمان می‌توانند فایل‌ها را آپلود کنند، اسکرین‌شات بگیرند، وب‌کم‌ها را فعال کنند، داده‌ها را کپی کنند، فایل‌های اجرایی را راه‌اندازی کنند، و کارهای دیگر را از طریق ماژول‌های اختیاری انجام دهند.

ارزش توجه به ویژگی API را دارد. ویروس هایی مانند این در درجه اول به سرورهای Command and Control (سرورهای C2) متصل می شوند و منتظر دستورالعمل هستند. Kazuar متمایز است زیرا می تواند یک وب سرور همیشه گوش ایجاد کند که به ویروس کمک می کند از فایروال ها و شناسایی ضد بدافزار جلوگیری کند.

چگونه Kazuar کامپیوترها را آلوده می کند؟

بدافزار Kazuar کامپیوترها را از طریق چندین روش مختلف آلوده می کند. رایج ترین آنها بسته نرم افزارهای مخرب، هرزنامه ایمیل، اشتراک گذاری شبکه، لینک های مخرب و دسترسی به درایوهای فلش آلوده هستند. Kazuar مطمئناً به محض وارد شدن به رایانه شما آسیب زیادی را وارد می کند.

قربانیان گزارش کرده اند که باید با خرابی هارد دیسک، خرابی های مکرر، برنامه های کاربردی خراب و غیره مقابله کنند. این به معنای آسیب واقعی آن از لحاظ ضرر مالی یا سرقت هویت نیست. شما باید اقدامات لازم را برای محافظت از خود در برابر Kazuar انجام دهید و هر گونه عفونت را در اسرع وقت از بین ببرید.

بدافزار Kazuar پس از آلوده کردن یک دستگاه هدف، اطلاعاتی را در مورد نرم افزار و سخت افزار میزبان آلوده جمع آوری می کند. علاوه بر این، تهدید Kazuar یک mutex منحصر به فرد بر اساس شناسه سریال هارد دیسک و نام کاربری کاربر فعال ایجاد می کند. این مرحله از حمله برای تشخیص اینکه آیا دو نوع بدافزار Kazuar در رایانه آلوده در حال اجرا است یا خیر. هنگامی که این کار تکمیل شد، بدافزار Kazuar با به دست آوردن پایداری در میزبان، حمله را ادامه خواهد داد. این با تغییر رجیستری ویندوز سیستم به دست می آید. سپس بدافزار Kazuar به سرور C&C (Command & Control) اپراتورهای خود متصل می‌شود و منتظر می‌ماند تا دستوراتی از سوی آنها داده شود. از جمله ویژگی های اصلی بدافزار Kazuar می توان به موارد زیر اشاره کرد:

  • گرفتن اسکرین شات از ویندوز و دسکتاپ فعال کاربر.
  • دانلود فایل ها
  • در حال آپلود فایل ها
  • ضبط فیلم از طریق دوربین سیستم.
  • مدیریت فرآیندهای در حال اجرا
  • اجرای دستورات از راه دور
  • فهرست کردن و مدیریت پلاگین های فعال تهدید.
  • در حال به روز رسانی خود و لیست سرورهای C&C.
  • خود ویرانگر.

این فهرست طولانی از قابلیت‌ها به بدافزار Kazuar اجازه می‌دهد تا به هر سیستمی که موفق به نفوذ آن می‌شود، آسیب‌های قابل توجهی وارد کند. از آنجایی که به احتمال زیاد سازندگان تهدید Kazuar در حال کار بر روی یک تکرار سازگار با OSX از این بدافزار هستند، حتی کاربران بیشتری در معرض خطر قرار خواهند گرفت. برای محافظت از سیستم خود در برابر آفاتی مانند تهدید Kazuar، مطمئن شوید که یک مجموعه نرم افزار ضد بدافزار واقعی را دانلود و نصب کنید که از امنیت سایبری شما مراقبت می کند و داده های شما را ایمن نگه می دارد.

تورلا نسخه جدید Kazuar را علیه اهداف در اوکراین مستقر می کند

از زمان شناسایی اولیه آن در سال 2017، Kazuar به طور پراکنده در طبیعت ظاهر شده است، که در درجه اول بر سازمان‌های داخل حوزه‌های دولتی و نظامی اروپا تأثیر گذاشته است. اتصال آن به در پشتی Sunburst ، که با شباهت های کد مشهود است، ماهیت پیچیده آن را نشان می دهد. در حالی که از اواخر سال 2020 هیچ نمونه جدیدی از Kazuar ظاهر نشده است، گزارش ها حاکی از تلاش های مداوم توسعه در سایه است.

تجزیه و تحلیل کد به روز شده Kazuar تلاش هماهنگ سازندگان آن را برای افزایش قابلیت های مخفیانه آن، فرار از مکانیسم های تشخیص و خنثی کردن تلاش های تجزیه و تحلیل برجسته می کند. این امر از طریق طیف وسیعی از روش‌های پیشرفته ضد تجزیه و تحلیل همراه با تکنیک‌های رمزگذاری قوی و مبهم‌سازی برای محافظت از یکپارچگی کد بدافزار به دست می‌آید.

عملکرد اصلی بدافزار جدید Kazuar

به روش معمولی Turla، Kazuar از استراتژی استفاده از وب‌سایت‌های قانونی ربوده شده برای زیرساخت فرماندهی و کنترل (C2) خود استفاده می‌کند، بنابراین از حذف کردن فرار می‌کند. علاوه بر این، Kazuar ارتباط را بر روی لوله های نامگذاری شده تسهیل می کند و از هر دو روش برای دریافت دستورات یا وظایف از راه دور استفاده می کند.

Kazuar از 45 کار مجزا در چارچوب C2 خود پشتیبانی می کند که نشان دهنده پیشرفت قابل توجهی در عملکرد آن در مقایسه با نسخه های قبلی است. تحقیقات قبلی برخی از این وظایف را مستند نکرده بود. در مقابل، نوع اولیه Kazuar که در سال 2017 تحلیل شد، تنها از 26 دستور C2 پشتیبانی می کرد.

فهرست دستورات شناخته شده کازوگر دسته های مختلفی را شامل می شود، از جمله:

  • جمع آوری داده هاست
  • جمع آوری داده های پزشکی قانونی گسترده
  • دستکاری فایل
  • اجرای دستورات دلخواه
  • تعامل با تنظیمات پیکربندی Kazuar
  • پرس و جو و دستکاری رجیستری ویندوز
  • اجرای اسکریپت ها (VBS، PowerShell، JavaScript)
  • ارسال درخواست های شبکه سفارشی
  • سرقت مدارک و اطلاعات حساس

سرقت اطلاعات در میان اولویت های تورلا باقی مانده است

Kazuar دارای قابلیت جمع‌آوری اعتبار از مصنوعات مختلف در رایانه آسیب‌دیده است که توسط فرمان‌هایی مانند «دزدیدن» یا «بدون نظارت» دریافت‌شده از سرور Command-and-Control (C2) ایجاد می‌شود. این مصنوعات شامل بسیاری از برنامه های ابری شناخته شده هستند.

علاوه بر این، Kazuar می تواند فایل های حساس حاوی اعتبارنامه های مرتبط با این برنامه ها را هدف قرار دهد. از جمله مصنوعات هدفمند می‌توان به Git SCM (یک سیستم کنترل منبع محبوب در میان توسعه‌دهندگان) و Signal (یک پلت فرم پیام‌رسانی رمزگذاری‌شده برای ارتباطات خصوصی) اشاره کرد.

به محض ایجاد یک رشته حل کننده منحصر به فرد، Kazuar به طور خودکار یک کار پروفایل سیستم گسترده را آغاز می کند که توسط سازندگان آن "first_systeminfo_do" نامیده می شود. این کار مستلزم جمع‌آوری کامل و نمایه‌سازی سیستم هدف است. Kazuar اطلاعات جامعی در مورد دستگاه آلوده جمع آوری می کند، از جمله جزئیات مربوط به سیستم عامل، مشخصات سخت افزاری، و پیکربندی شبکه.

داده های جمع آوری شده در یک فایل 'info.txt' ذخیره می شود، در حالی که گزارش های اجرایی در یک فایل 'logs.txt' ذخیره می شوند. علاوه بر این، به عنوان بخشی از این کار، بدافزار یک اسکرین شات از صفحه نمایش کاربر می گیرد. سپس تمام فایل‌های جمع‌آوری‌شده در یک آرشیو واحد، رمزگذاری شده و به C2 ارسال می‌شوند.

Kazuar چندین کار خودکار را روی دستگاه های آلوده ایجاد می کند

Kazuar دارای قابلیت ایجاد رویه های خودکار است که در بازه های زمانی از پیش تعریف شده به منظور بازیابی داده ها از سیستم های در معرض خطر اجرا می شوند. این وظایف خودکار طیف وسیعی از عملکردها را شامل می شود، از جمله جمع آوری اطلاعات جامع سیستم همانطور که در بخش پروفایل سیستم جامع، گرفتن عکس از صفحه، استخراج اعتبار، بازیابی داده های پزشکی قانونی، به دست آوردن داده های اجرای خودکار، دریافت فایل ها از پوشه های تعیین شده، گردآوری لیستی از فایل های LNK و سرقت ایمیل ها از طریق استفاده از MAPI.

این قابلیت‌ها کازو را قادر می‌سازد تا نظارت سیستماتیک و استخراج داده‌ها را از ماشین‌های آلوده انجام دهد و عوامل مخرب را با اطلاعات حساس زیادی تقویت کند. با استفاده از این وظایف خودکار، Kazuar روند شناسایی و استخراج داده ها را ساده می کند و کارایی آن را به عنوان ابزاری برای جاسوسی سایبری و فعالیت های مخرب افزایش می دهد.

بدافزار به روز شده Kazuar مجهز به قابلیت های گسترده ضد تجزیه و تحلیل است

Kazuar از انواع تکنیک های پیچیده ضد تجزیه و تحلیل استفاده می کند که به طور دقیق برای فرار از تشخیص و بررسی طراحی شده اند. کازوار که توسط سازندگانش برنامه ریزی شده است، به صورت پویا رفتار خود را بر اساس حضور فعالیت های تحلیلی تنظیم می کند. هنگامی که تشخیص می دهد که هیچ تحلیلی در حال انجام نیست، کازوار به عملیات خود ادامه می دهد. با این حال، اگر هر نشانه ای از اشکال زدایی یا تجزیه و تحلیل را تشخیص دهد، بلافاصله وارد حالت بیکار می شود و تمام ارتباطات با سرور Command and Control (C2) خود را متوقف می کند.

ضد دامپینگ

با توجه به اینکه Kazuar به عنوان یک جزء تزریق شده در یک فرآیند دیگر به جای یک موجودیت مستقل عمل می کند، چشم انداز استخراج کد آن از حافظه فرآیند میزبان وجود دارد. برای مقابله با این آسیب‌پذیری، Kazuar از یک ویژگی قوی در دات‌نت، یعنی System.Reflection Namespace استفاده می‌کند. این قابلیت به Kazuar چابکی برای بازیابی ابرداده‌های مربوط به مونتاژ، روش‌های دینامیکی و سایر عناصر حیاتی در زمان واقعی را می‌دهد و دفاع خود را در برابر تلاش‌های بالقوه استخراج کد تقویت می‌کند.

علاوه بر این، Kazuar یک اقدام دفاعی را با بررسی دقیق اینکه آیا تنظیمات antidump_methods فعال است، اجرا می کند. در چنین مواردی، نشانگرهای روش‌های سفارشی خود را لغو می‌کند، در حالی که روش‌های عمومی دات‌نت را نادیده می‌گیرد، و عملاً آنها را از حافظه پاک می‌کند. همانطور که توسط پیام ثبت شده کازو مشخص می شود، این رویکرد پیشگیرانه مانع از استخراج یک نسخه دست نخورده بدافزار توسط محققان می شود و در نتیجه انعطاف پذیری آن را در برابر تجزیه و تحلیل و شناسایی افزایش می دهد.

هانی پات چک

در میان وظایف اولیه خود، Kazuar با پشتکار هر گونه نشانه ای از مصنوعات Honeypot را در دستگاه مورد نظر اسکن می کند. برای انجام این کار، به فهرستی از پیش تعریف‌شده از نام‌های فرآیند و نام فایل‌ها ارجاع می‌دهد که از یک رویکرد کدگذاری سخت استفاده می‌کند. اگر Kazuar با بیش از پنج نمونه از این فایل‌ها یا فرآیندهای مشخص شده مواجه شود، فوراً کشف را به عنوان نشانه‌ای از حضور هانی‌پات ثبت می‌کند.

بررسی ابزارهای تحلیل

Kazuar فهرستی از نام‌های از پیش تعریف‌شده را که نشان‌دهنده ابزارهای تجزیه و تحلیل پرکاربرد مختلف هستند، نگهداری می‌کند. به طور سیستماتیک فهرستی را در برابر فرآیندهای فعال در سیستم بررسی می کند. به محض تشخیص عملکرد هر یک از این ابزارها، کازو به سرعت یافته را ثبت می کند که نشان دهنده وجود ابزارهای تجزیه و تحلیل است.

Sandbox را بررسی کنید

Kazuar دارای مجموعه ای از کتابخانه های sandbox از پیش تعیین شده است که در سیستم خود کدگذاری شده اند. این اسکن را برای شناسایی DLL های خاص مرتبط با خدمات مختلف جعبه شنی انجام می دهد. پس از مواجهه با این فایل ها، کازو به این نتیجه می رسد که در یک محیط آزمایشگاهی در حال اجرا است و باعث می شود که عملیات خود را متوقف کند.

مانیتور ثبت رویداد

Kazuar به طور سیستماتیک رویدادهای ثبت شده در گزارش رویدادهای ویندوز را جمع آوری و تفسیر می کند. این به طور خاص رویدادهایی را هدف قرار می دهد که از مجموعه ای از فروشندگان ضد بدافزار و امنیتی نشات می گیرند. این تمرکز عمدی با استراتژی نظارت بر فعالیت های مرتبط با محصولات امنیتی پرکاربرد با این فرض قابل قبول که این ابزارها در میان اهداف بالقوه رایج هستند، همسو می شود.

بدافزار Kazuar همچنان یک تهدید بزرگ در فضای دیجیتال است

آخرین نوع بدافزار Kazuar که اخیراً در طبیعت شناسایی شده است، چندین ویژگی قابل توجه را به نمایش می گذارد. این کد قوی و تکنیک‌های مبهم‌سازی رشته‌ای را در کنار یک مدل چند رشته‌ای برای عملکرد بهبودیافته ترکیب می‌کند. علاوه بر این، طیف وسیعی از طرح‌های رمزگذاری برای محافظت از کد Kazuar در برابر تجزیه و تحلیل و پنهان کردن داده‌های آن، چه در حافظه، در حین انتقال یا روی دیسک، پیاده‌سازی شده‌اند. این ویژگی‌ها در مجموع هدفشان این است که درب پشتی Kazuar را با سطح بالایی از مخفی کاری ببخشند.

علاوه بر این، این تکرار از بدافزار عملکردهای پیچیده ضد تجزیه و تحلیل و قابلیت های گسترده پروفایل سیستم را نشان می دهد. هدف گذاری خاص آن از برنامه های ابری قابل توجه است. علاوه بر این، این نسخه از Kazuar از آرایه گسترده ای از بیش از 40 فرمان مجزا پشتیبانی می کند که نیمی از آنها قبلاً توسط محققان امنیت سایبری مستند نشده بودند.

چگونه در برابر کازوئر محافظت کنیم

مانند هر نوع تهدید دیگری، مهمترین کاری که می توانید برای محافظت از رایانه خود انجام دهید این است که از باز کردن پیوست ها و پیوندهای ایمیل خودداری کنید. اگر نمی دانید ایمیل از کجا آمده است، با آن ارتباط برقرار نکنید. همچنین، مطمئن شوید که از مهم ترین داده های خود به طور منظم نسخه پشتیبان تهیه کنید. داشتن چندین نسخه پشتیبان نیز کمک می کند، زیرا هر چه تعداد نسخه پشتیبان بیشتری داشته باشید، در صورت وجود Kazuar یا بدافزار دیگری، شانس بیشتری برای بازگشت به حالت عادی دارید.

آخرین اما نه کم اهمیت، شما می خواهید مطمئن شوید که همه برنامه ها و برنامه های شما به روز هستند. فراموش نکنید که سیستم عامل خود را به طور منظم به روز کنید. تهدیدهای رایانه ای از طریق سوء استفاده ها در سیستم عامل ها و نرم افزارها رشد می کنند، بنابراین اجازه ندهید آنها را به تعویق بیاندازید.

پرطرفدار

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

Phishing, Spam
36,927
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...
بارگذاری...