Multi-License Discount Quote
מסד נתונים של איומים Backdoors Kazuar

Kazuar

עד GoldSparrow ב-Backdoors
לתרגם ל:
עברית

חוקרים גילו טרויאני בדלת אחורית בשם קזואר. נמצא שקזואר קשור למסע פרסום של ריגול ונראה שהוא נכתב עם Microsoft .NET Framework. Kazuar מאפשר לתוקפים לקבל גישה מלאה למערכת שנפרצה.

לקזואר מספר פונקציות ופקודות פוטנציאליות, כולל היכולת לטעון תוספים מרחוק. תוספים אלה נותנים לטרויאני יכולות גדולות יותר והופכים אותו לאיום יותר. היה גם קוד בזן שנצפה שהציע שישנן גרסאות לינוקס ומק של Kazuar בעולם. דבר אחד שבולט בקזואר הוא שהוא עובד דרך ממשק תכנות יישומים (API) המחובר לשרת אינטרנט, וייתכן שזהו הנגיף הראשון - והיחיד - שפועל בצורה כזו.

מי עומד מאחורי קזואר?

חוקרים מאמינים שקזואר קשור ל- Turla , קבוצת APT (Advanced Persistent Threat), הידועה גם כפועלת תחת השמות Snake and Uroburos . Turla ידועה ביכולות המתקדמות שלה ובהיותה קבוצת איומי סייבר ותיקה מבוססת רוסיה עם קשרים לכאורה עם שירות הביטחון הפדרלי הרוסי (FSB). הקבוצה מכוונת לשגרירויות, מוסדות חינוך, קבלני ביטחון וארגוני מחקר בהתקפותיהם. ל-Turla יש חתימה בקוד שלהם שמזהה את הכלים שלהם, ואת הקוד ששימש עבור Kazuar אפשר לאתר לפחות לשנת 2005.

Turla השתמשה בתקופתם במספר כלים, שרובם נפרסים בשלב השני של התקפות בתוך סביבות שנפגעו. קזואר יכולה להיות דרך חדשה שבה קבוצת Turla מטפלת בפעולות.

מה עושה קזואר?

Kazuar הוא טרויאני בדלת אחורית, שהיא אחת הקטגוריות הגדולות ביותר של איומים דיגיטליים. סוסים טרויאניים בדלת אחורית יכולים להיות תוכנות יקרות ומקיפות עם מגוון של יכולות, או שהם יכולים להיות תוכנות פשוטות שלא עושות דבר מלבד פינג לשרת. קזואר, במיוחד, על שם ציפור הקזואר של דרום מזרח אסיה, הוא יותר טרויאני מסורתי בדלת אחורית. בעוד Kazuar הוא בסיסי יחסית, יש לו כמה תכונות נסתרות שהופכות אותו לאיום יותר מאשר טרויאנים טיפוסיים בדלת אחורית כמו PowerStallion או Neuron .

קזואר מתכוון להימנע מגילוי בזמן שהאקרים של טורלה אוספים מידע מודיעיני מהמטרות שלהם. למרות ש-Kazuar הוא יישום .NET Framework, יש לו גם תכונות שהופכות אותו לתואם למערכות Mac ו-Unix/Linux. אולם עד כה, רק גרסאות של Windows זוהו בטבע.

תסתכל על הקוד של Kazuar, ותראה כמה עבודה הושקעה בווירוס הזה. לקזואר יש שגרת התקנה משופרת והיא מסוגלת להסתגל למחשבים פגיעים על ידי ביסוס התמדה באמצעות מספר שיטות. הווירוס יוצר קובצי DLL ומנצל את שירותי Windows ופונקציות NET Framework כדי להישאר במחשב. ברגע שהנגיף יתחיל לפעול, הוא ימסור לתוקף מידע על מחשב היעד ויאפשר לו להשתלט. תוקפים מסוגלים להעלות קבצים, לצלם צילומי מסך, להפעיל מצלמות רשת, להעתיק נתונים, להפעיל קבצי הפעלה ולבצע משימות אחרות באמצעות מודולים אופציונליים.

כדאי לשים לב לתכונת ה-API. וירוסים כמו זה מתחברים בעיקר לשרתי Command and Control (שרתי C2) וממתינים להוראות. Kazuar בולט מכיוון שהוא יכול ליצור שרת אינטרנט שמקשיב תמיד, שעוזר לווירוס להימנע מחומת אש וזיהוי נגד תוכנות זדוניות.

כיצד Kazuar מדביק מחשבים?

התוכנה הזדונית של Kazuar מדביקה מחשבים בכמה שיטות שונות. הנפוצים ביותר הם חבילות תוכנה זדוניות, דואר זבל בדואר אלקטרוני, שיתוף רשת, קישורים זדוניים וגישה לכונני הבזק נגועים. Kazuar בטוח יגרום לכמות עצומה של נזק ברגע שהוא ייכנס למחשב שלך.

קורבנות דיווחו כי נאלצו להתמודד עם כשל בכונן הקשיח, קריסות תכופות, יישומים פגומים ועוד. זה לא אומר שום דבר על הנזק האמיתי שהוא יכול לעשות במונחים של אובדן כספי או גניבת זהות. עליך לנקוט בצעדים כדי להגן על עצמך מפני Kazuar ולהסיר כל זיהום בהקדם האפשרי.

עם הדבקה של מכשיר ממוקד, התוכנה הזדונית של Kazuar תאסוף מידע מסוים לגבי התוכנה והחומרה של המארח הנגוע. יתר על כן, איום Kazuar ייצור mutex ייחודי המבוסס על המזהה הסדרתי של הדיסק הקשיח ושם המשתמש של המשתמש הפעיל. שלב זה של ההתקפה משמש לזיהוי האם קיימות שתי גרסאות של תוכנת זדונית Kazuar שפועלת במחשב הנגוע. לאחר השלמת פעולה זו, התוכנה הזדונית של Kazuar תמשיך בהתקפה על ידי השגת התמדה על המארח. זה מושג על ידי שינוי רישום Windows של המערכת. בשלב הבא, התוכנה הזדונית של Kazuar תתחבר לשרת C&C (Command & Control) של המפעילים שלה ותמתין למתן פקודות מהם. בין התכונות העיקריות של תוכנת זדונית Kazuar היא:

  • צילום מסך של החלונות הפעילים ושולחן העבודה של המשתמש.
  • הורדת קבצים.
  • העלאת קבצים.
  • הקלטת צילומים באמצעות מצלמת המערכת.
  • ניהול תהליכים רצים.
  • ביצוע פקודות מרחוק.
  • רישום וניהול תוספים פעילים של האיום.
  • מעדכן את עצמו ואת רשימת שרתי ה-C&C שלו.
  • הרס עצמי.

רשימה ארוכה זו של יכולות מאפשרת לתוכנה זדונית של Kazuar לגרום נזק משמעותי לכל מערכת שהיא מצליחה לחדור אליה. מכיוון שסביר שיוצרי איום Kazuar עובדים על איטרציה תואמת OSX של תוכנה זדונית זו, אפילו יותר משתמשים יהיו בסיכון. כדי להגן על המערכת שלך מפני מזיקים כמו איום Kazuar, הקפד להוריד ולהתקין חבילת תוכנה אמיתית נגד תוכנות זדוניות שתדאג לאבטחת הסייבר שלך ותשמור על בטיחות הנתונים שלך.

טורלה פורסת וריאנט קזואר חדש נגד יעדים באוקראינה

מאז הגילוי הראשוני שלו ב-2017, קזואר צץ באופן ספורדי בטבע, והשפיע בעיקר על ארגונים בתחומי הממשל והצבא האירופיים. הקשר שלו לדלת האחורית Sunburst , המעיד על קווי דמיון בקוד, מדגיש את אופיו המתוחכם. למרות שלא הופיעו דגימות חדשות של Kazuar מאז סוף 2020, דיווחים הציעו מאמצי פיתוח מתמשכים בצל.

ניתוח של קוד Kazuar המעודכן מדגיש מאמץ משותף של יוצריו לשפר את יכולות ההתגנבות שלו, להתחמק ממנגנוני זיהוי ולסכל מאמצי ניתוח. הדבר מושג באמצעות מגוון שיטות אנטי-אנליזה מתקדמות בשילוב עם טכניקות הצפנה וערפול חזקות כדי להגן על שלמות קוד התוכנה הזדונית.

פונקציונליות הליבה של גרסת התוכנה הזדונית החדשה של Kazuar

באופן טיפוסי ל-Turla, Kazuar נוקטת באסטרטגיה של שימוש באתרים לגיטימיים שנחטפו עבור תשתית השליטה והבקרה (C2) שלה, ובכך מתחמקת מהסרות. בנוסף, Kazuar מאפשרת תקשורת באמצעות צינורות בעלי שם, תוך שימוש בשתי השיטות לקבלת פקודות או משימות מרחוק.

Kazuar מתגאה בתמיכה ב-45 משימות נפרדות במסגרת ה-C2 שלה, המייצגות התקדמות בולטת בפונקציונליות שלה בהשוואה לגרסאות קודמות. מחקר קודם לא תיעד חלק מהמשימות הללו. לעומת זאת, הגרסה הראשונית של Kazuar שניתחה ב-2017 תמכה רק ב-26 פקודות C2.

רשימת הפקודות המוכרות של קזואר משתרעת על קטגוריות שונות, כולל:

  • איסוף נתונים מארח
  • איסוף נתונים פורנזי מורחב
  • מניפולציה של קבצים
  • ביצוע פקודות שרירותיות
  • אינטראקציה עם הגדרות התצורה של Kazuar
  • שאילתה וטיפול ברישום של Windows
  • ביצוע סקריפטים (VBS, PowerShell, JavaScript)
  • שליחת בקשות רשת מותאמות אישית
  • גניבת אישורים ומידע רגיש

גניבת נתונים נותרה בין העדיפויות העליונות של Turla

לקזואר יש את היכולת לקצור אישורים מחפצים שונים בתוך המחשב שנפגע, המופעלות על ידי פקודות כגון 'גניבה' או 'ללא השגחה' שהתקבלו משרת הפקודה והבקרה (C2). חפצים אלה כוללים יישומי ענן ידועים רבים.

יתר על כן, Kazuar יכול למקד לקבצים רגישים המכילים אישורים הקשורים ליישומים אלה. בין החפצים הממוקדים הם Git SCM (מערכת בקרת מקור פופולרית בקרב מפתחים) ו-Signal (פלטפורמת הודעות מוצפנת לתקשורת פרטית).

לאחר שהוליד שרשור פותר ייחודי, Kazuar יוזמת אוטומטית משימת פרופיל מערכת נרחבת, המכונה "first_systeminfo_do" על ידי יוצריה. משימה זו כרוכה באיסוף יסודי ויצירת פרופיל של המערכת הממוקדת. Kazuar אוסף מידע מקיף על המכונה הנגועה, כולל פרטים על מערכת ההפעלה, מפרטי החומרה ותצורת הרשת.

הנתונים שנאספים מאוחסנים בקובץ 'info.txt', בעוד שיומני ביצוע נשמרים בקובץ 'logs.txt'. בנוסף, כחלק ממשימה זו, התוכנה הזדונית לוכדת צילום מסך של מסך המשתמש. כל הקבצים שנאספו מצורפים לארכיון יחיד, מוצפנים ונשלחים ל-C2.

Kazuar מקים משימות אוטומטיות מרובות במכשירים הנגועים

לקזואר יש את היכולת להקים נהלים אוטומטיים הפועלים במרווחי זמן מוגדרים מראש לצורך אחזור נתונים ממערכות שנפגעו. משימות אוטומטיות אלה כוללות מגוון פונקציות, לרבות איסוף מידע מערכת מקיף כמפורט בסעיף על פרופיל מערכת מקיף, לכידת צילומי מסך, חילוץ אישורים, אחזור נתונים פורנזיים, השגת נתוני ריצה אוטומטית, השגת קבצים מתיקיות ייעודיות, עריכת רשימה של קבצי LNK, וגניבת מיילים באמצעות MAPI.

פונקציונליות אלו מאפשרות לקזואר לבצע מעקב שיטתי וחילוץ נתונים ממכונות נגועות, מה שמעצים שחקנים זדוניים עם שפע של מידע רגיש. על ידי מינוף המשימות האוטומטיות הללו, Kazuar מייעלת את תהליך הסיור וחילוץ הנתונים, ומשפרת את יעילותו ככלי לריגול סייבר ופעילות זדונית.

התוכנה הזדונית המעודכנת של Kazuar מצוידת ביכולות אנטי-ניתוח נרחבות

קזואר משתמשת במגוון טכניקות אנטי-אנליזה מתוחכמות שתוכננו בקפידה כדי להתחמק מגילוי ובדיקה. מתוכנת על ידי יוצריו, Kazuar מתאימה באופן דינמי את התנהגותו בהתבסס על נוכחות של פעילויות ניתוח. כאשר היא קובעת כי לא מתבצע ניתוח, קזואר ממשיכה בפעולותיה. עם זאת, אם הוא מזהה אינדיקציה כלשהי של איתור באגים או ניתוח, הוא נכנס מיד למצב סרק, ומפסיק את כל התקשורת עם שרת הפיקוד והבקרה (C2) שלו.

אנטי-דמפינג

בהתחשב בכך שקזואר פועל כרכיב מוזרק בתוך תהליך אחר ולא כישות אוטונומית, מתנשא הסיכוי לחלץ את הקוד שלו מהזיכרון של התהליך המארח. כדי לנטרל את הפגיעות הזו, Kazuar עושה שימוש מיומן בתכונה חזקה ב-.NET, מרחב השמות System.Reflection. יכולת זו מעניקה לקזואר את הזריזות לאחזר מטא-נתונים הנוגעים להרכבה, לשיטות באופן דינמי ולמרכיבים קריטיים אחרים בזמן אמת, ומחזקת את ההגנות שלה מפני מאמצי חילוץ קוד אפשריים.

בנוסף, Kazuar מיישמת אמצעי הגנתי על ידי בדיקה מדוקדקת אם ההגדרה antidump_methods מופעלת. במקרים כאלה, הוא עוקף מצביעים לשיטות המותאמות שלו תוך התעלמות משיטות NET גנריות, ולמעשה מוחק אותן מהזיכרון. כפי שעולה מההודעה הרשומה של Kazuar, גישה פרואקטיבית זו משמשת למנוע מחוקרים לחלץ גרסה שלמה של התוכנה הזדונית, ובכך לשפר את עמידותה בפני ניתוח וזיהוי.

צ'ק סיר דבש

בין המשימות הראשוניות שלה, קזואר סורקת בשקידה אחר כל סימן של חפצי סיר דבש על מכונת המטרה. כדי להשיג זאת, הוא מפנה לרשימה מוגדרת מראש של שמות תהליכים ושמות קבצים, תוך שימוש בגישה מקודדת קשה. אם קזואר ייתקל ביותר מחמישה מקרים של קבצים או תהליכים שצוינו, הוא מתעד את הגילוי באופן מיידי כמעיד על נוכחות של סיר דבש.

בדיקת כלי ניתוח

Kazuar מחזיקה רשימה של שמות מוגדרים מראש המייצגים כלי ניתוח שונים בשימוש נרחב. הוא סוקר באופן שיטתי את הסגל מול התהליכים הפעילים במערכת. לאחר זיהוי הפעולה של כל אחד מהכלים הללו, קזואר רושם מיד את הממצא, מה שמצביע על נוכחותם של כלי ניתוח.

בדיקת ארגז חול

לקזואר יש קבוצה של ספריות ארגז חול מוגדרות מראש המקודדות בקשיחות במערכת שלה. הוא עורך סריקות כדי לזהות קובצי DLL ספציפיים הקשורים לשירותי ארגז חול שונים. כשנתקל בקבצים אלה, קזואר מסיק שהוא פועל בתוך סביבת מעבדה, מה שמנחה אותה להפסיק את פעילותה.

צג יומן אירועים

Kazuar אוסף ומפרש באופן שיטתי אירועים שנרשמו ביומני האירועים של Windows. זה מכוון במיוחד לאירועים שמקורם במבחר של ספקי אנטי-תוכנות זדוניות ואבטחה. מיקוד מכוון זה מתיישב עם האסטרטגיה של ניטור פעילויות הקשורות למוצרי אבטחה בשימוש נרחב תחת ההנחה הסבירה שכלים אלה נפוצים בקרב יעדים פוטנציאליים.

התוכנה הזדונית של Kazuar ממשיכה לייצג איום מרכזי במרחב הדיגיטלי

הגרסה האחרונה של התוכנה הזדונית Kazuar, שזוהתה לאחרונה בטבע, מציגה כמה תכונות בולטות. הוא משלב טכניקות ערפול של קוד ומחרוזות חזקות לצד מודל מרובה הליכי לביצועים משופרים. יתר על כן, מיושמת מגוון תוכניות הצפנה כדי להגן על הקוד של Kazuar מניתוח ולהסתיר את הנתונים שלו, בין אם בזיכרון, במהלך שידור או בדיסק. תכונות אלה שואפות ביחד להעניק לדלת האחורית של קזואר רמת התגנבות מוגברת.

בנוסף, איטרציה זו של התוכנה הזדונית מציגה פונקציות מתוחכמות נגד ניתוח ויכולות נרחבות של פרופיל מערכת. המיקוד הספציפי שלה ליישומי ענן ראוי לציון. יתרה מכך, גרסה זו של Kazuar מתהדרת בתמיכה במערך נרחב של למעלה מ-40 פקודות נפרדות, כאשר מחציתן לא תועדו בעבר על ידי חוקרי אבטחת סייבר.

כיצד להגן מפני קזואר

כמו בכל סוג של איום, הדבר העיקרי שאתה יכול לעשות כדי להגן על המחשב שלך הוא להימנע מפתיחת קבצים מצורפים וקישורים למייל. אל תיצור אינטראקציה עם האימייל אם אינך יודע מאיפה הוא הגיע. כמו כן, הקפד לגבות את הנתונים החשובים ביותר שלך באופן קבוע. זה עוזר לעשות גם גיבויים מרובים, מכיוון שככל שיש לך יותר גיבויים, הסיכוי שלך להחזיר את הדברים לקדמותם גבוה יותר במקרה של Kazuar או תוכנה זדונית אחרת.

אחרון חביב, אתה רוצה לוודא שכל התוכניות והיישומים שלך מעודכנים. אל תשכח לעדכן את מערכת ההפעלה באופן קבוע מדי. איומי מחשב משגשגים באמצעות ניצולים במערכות הפעלה ובתוכנות, אז אל תתנו להם להתעכב.

מגמות

הכי נצפה

הונאת דוא"ל 'Gek Squad'

Phishing, Spam
36,927
Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
טוען...