Kazuar

Istraživači su otkrili backdoor trojanca zvanog Kazuar. Utvrđeno je da je Kazuar povezan sa špijunskom kampanjom i čini se da je napisan s Microsoft .NET Frameworkom. Kazuar napadačima omogućuje potpuni pristup kompromitiranom sustavu.

Kazuar ima nekoliko potencijalnih funkcija i naredbi, uključujući mogućnost daljinskog učitavanja dodataka. Ovi dodaci trojancu daju veće mogućnosti i čine ga većom prijetnjom. Također je postojao kod u promatranom soju koji je sugerirao da u svijetu postoje Linux i Mac verzije Kazuara. Jedna stvar koja se ističe u vezi s Kazuarom jest da radi preko sučelja za programiranje aplikacija (API) povezanog s web poslužiteljem, a možda je i prvi – i jedini – virus koji djeluje na takav način.

Tko stoji iza Kazuara?

Istraživači vjeruju da je Kazuar povezan s Turlom , APT (Advanced Persistent Threat) grupom, također poznatom da djeluje pod imenima Snake i Uroburos . Turla je poznata po svojim naprednim sposobnostima i kao dugogodišnja skupina za kibernetičke prijetnje sa sjedištem u Rusiji s navodnim vezama s ruskom Federalnom sigurnosnom službom (FSB). Grupa svojim napadima cilja veleposlanstva, obrazovne ustanove, izvođače radova u obrani i istraživačke organizacije. Turla ima nešto poput potpisa u svom kodu koji identificira alate kao njihove, a kod koji se koristi za Kazuar može se pratiti barem do 2005. godine.

Turla je koristio brojne alate u svoje vrijeme, od kojih je većina raspoređena u drugoj fazi napada unutar ugroženih okruženja. Kazuar bi mogao biti jedan novi način na koji Turla grupa upravlja operacijama.

Što Kazuar radi?

Kazuar je backdoor trojanac, koji je jedna od najvećih kategorija digitalnih prijetnji. Backdoor trojanci mogu biti skupi i sveobuhvatni programi s nizom mogućnosti ili mogu biti jednostavni programi koji ne rade ništa osim pinganja poslužitelja. Posebno Kazuar, koji je ime dobio po ptici kazuaru iz jugoistočne Azije, više je tradicionalni trojanac sa stražnje strane. Iako je Kazuar relativno jednostavan, ima neke skrivene značajke koje ga čine većom prijetnjom od tipičnih backdoor trojanaca kao što su PowerStallion ili Neuron .

Kazuar pokušava izbjeći da ga otkriju dok Turla hakeri prikupljaju obavještajne podatke od svojih meta. Iako je Kazuar aplikacija .NET Framework, također ima značajke koje ga čine kompatibilnim s Mac i Unix/Linux sustavima. Do sada su, međutim, samo Windows varijante uočene u divljini.

Pogledajte kod za Kazuar i vidjet ćete koliko je posla uloženo u ovaj virus. Kazuar ima poboljšanu rutinu postavljanja i može se prilagoditi ranjivim računalima uspostavljanjem postojanosti kroz niz metoda. Virus stvara DLL-ove i iskorištava Windows usluge i funkcije .NET Frameworka kako bi ostao na računalu. Nakon što se virus pokrene, napadaču će dati informacije o ciljanom računalu i omogućiti mu da preuzme kontrolu. Napadači mogu učitavati datoteke, snimati snimke zaslona, aktivirati web kamere, kopirati podatke, pokretati izvršne datoteke i obavljati druge zadatke putem opcijskih modula.

Vrijedno je obratiti pozornost na API značajku. Virusi poput ovog primarno se spajaju na Command and Control servere (C2 servere) i čekaju upute. Kazuar se ističe jer može stvoriti web-poslužitelj koji uvijek sluša i pomaže virusu da izbjegne vatrozid i otkrivanje zlonamjernog softvera.

Kako Kazuar inficira računala?

Malware Kazuar inficira računala na nekoliko različitih metoda. Najčešći su paketi zlonamjernog softvera, spam e-pošte, dijeljenje mreže, zlonamjerne veze i pristup zaraženim flash pogonima. Kazuar će sigurno prouzročiti ogromnu štetu nakon što dospije na vaše računalo.

Žrtve su prijavile da su se suočavale s kvarom tvrdog diska, čestim padovima, oštećenim aplikacijama i još mnogo toga. To ne govori ništa o stvarnoj šteti koju može učiniti u smislu financijskog gubitka ili krađe identiteta. Trebali biste poduzeti korake da se zaštitite od Kazuara i uklonite svaku infekciju što je prije moguće.

Nakon zaraze ciljanog uređaja, malware Kazuar prikupio bi neke informacije o softveru i hardveru zaraženog hosta. Nadalje, prijetnja Kazuar generirala bi jedinstveni mutex na temelju serijskog ID-a tvrdog diska i korisničkog imena aktivnog korisnika. Ovaj korak napada služi za otkrivanje postoje li dvije varijante zlonamjernog softvera Kazuar pokrenute na zaraženom računalu. Nakon što je ovo dovršeno, zlonamjerni softver Kazuar nastavit će s napadom zadržavajući se na hostu. To se postiže izmjenom Windows registra sustava. Zatim bi se malware Kazuar povezao s C&C (Command & Control) poslužiteljem svojih operatera i čekao da mu oni daju naredbe. Među glavnim značajkama zlonamjernog softvera Kazuar je:

• Snimanje zaslona aktivnih prozora i radne površine korisnika.
• Preuzimanje datoteka.
• Prijenos datoteka.
• Snimanje snimke putem kamere sustava.
• Upravljanje pokrenutim procesima.
• Izvršavanje daljinskih naredbi.
• Popisivanje i upravljanje aktivnim dodacima prijetnje.

Ovaj dugačak popis mogućnosti omogućuje zlonamjernom softveru Kazuar da izazove značajnu štetu svakom sustavu u koji se uspije infiltrirati. Budući da je vjerojatno da kreatori prijetnje Kazuar rade na OSX-kompatibilnoj iteraciji ovog zlonamjernog softvera, još će više korisnika biti u opasnosti. Kako biste zaštitili svoj sustav od nametnika kao što je prijetnja Kazuar, svakako preuzmite i instalirajte originalni softverski paket protiv zlonamjernog softvera koji će se pobrinuti za vašu kibernetičku sigurnost i čuvati vaše podatke.

Turla postavlja novu varijantu Kazuar protiv ciljeva u Ukrajini

Od svog prvog otkrivanja 2017., Kazuar se sporadično pojavljuje u divljini, prvenstveno utječući na organizacije unutar europskih vladinih i vojnih sfera. Njegova povezanost s backdoorom Sunburst , što dokazuje sličnost koda, naglašava njegovu sofisticiranu prirodu. Iako se od kraja 2020. nisu pojavili nikakvi novi uzorci Kazuara, izvješća su sugerirala stalne razvojne napore u sjeni.

Analiza ažuriranog koda Kazuar naglašava zajednički napor njegovih kreatora da poboljšaju njegove sposobnosti prikrivanja, izbjegnu mehanizme detekcije i osujete pokušaje analize. To se postiže nizom naprednih metoda anti-analize u kombinaciji s robusnom enkripcijom i tehnikama maskiranja kako bi se zaštitio integritet koda zlonamjernog softvera.

Temeljna funkcionalnost nove varijante zlonamjernog softvera Kazuar

U tipičnom Turla stilu, Kazuar koristi strategiju korištenja otetih legitimnih web stranica za svoju infrastrukturu za upravljanje i kontrolu (C2), čime izbjegava uklanjanje. Uz to, Kazuar olakšava komunikaciju preko imenovanih cijevi, koristeći obje metode za primanje udaljenih naredbi ili zadataka.

Kazuar se može pohvaliti podrškom za 45 različitih zadataka unutar svog okvira C2, što predstavlja značajan napredak u njegovoj funkcionalnosti u usporedbi s ranijim verzijama. Prethodna istraživanja nisu dokumentirala neke od ovih zadataka. Nasuprot tome, početna varijanta Kazuara analizirana 2017. podržavala je samo 26 C2 naredbi.

Kazuarov popis priznatih naredbi obuhvaća različite kategorije, uključujući:

• Prikupljanje podataka o domaćinu
• Prošireno prikupljanje forenzičkih podataka
• Manipulacija datotekama
• Izvršenje proizvoljnih naredbi
• Interakcija s Kazuarovim postavkama konfiguracije

Krađa podataka ostaje među glavnim prioritetima za Turlu

Kazuar posjeduje sposobnost skupljanja vjerodajnica iz različitih artefakata unutar kompromitiranog računala, pokrenutih naredbama kao što su 'ukradi' ili 'unattend' primljene od Command-and-Control (C2) poslužitelja. Ovi artefakti obuhvaćaju brojne dobro poznate aplikacije u oblaku.

Nadalje, Kazuar može ciljati osjetljive datoteke koje sadrže vjerodajnice povezane s tim aplikacijama. Među ciljanim artefaktima su Git SCM (popularan sustav kontrole izvora među programerima) i Signal (kriptirana platforma za razmjenu poruka za privatnu komunikaciju).

Nakon stvaranja jedinstvene niti rješavača, Kazuar automatski pokreće opsežan zadatak profiliranja sustava, koji su njegovi kreatori nazvali 'first_systeminfo_do'. Ovaj zadatak podrazumijeva temeljito prikupljanje i profiliranje ciljanog sustava. Kazuar prikuplja sveobuhvatne informacije o zaraženom računalu, uključujući pojedinosti o operativnom sustavu, hardverskim specifikacijama i konfiguraciji mreže.

Prikupljeni podaci pohranjuju se u datoteci 'info.txt', dok se dnevnici izvršenja spremaju u datoteci 'logs.txt'. Osim toga, kao dio ovog zadatka, zlonamjerni softver snima snimku zaslona korisnika. Sve prikupljene datoteke se zatim spajaju u jednu arhivu, šifriraju i šalju u C2.

Kazuar uspostavlja više automatiziranih zadataka na zaraženim uređajima

Kazuar posjeduje sposobnost uspostavljanja automatiziranih procedura koje se izvršavaju u unaprijed definiranim intervalima u svrhu dohvaćanja podataka iz kompromitiranih sustava. Ovi automatizirani zadaci obuhvaćaju niz funkcija, uključujući prikupljanje sveobuhvatnih informacija o sustavu kao što je detaljno opisano u odjeljku Sveobuhvatno profiliranje sustava, snimanje snimki zaslona, izdvajanje vjerodajnica, dohvaćanje forenzičkih podataka, prikupljanje podataka za automatsko pokretanje, dobivanje datoteka iz određenih mapa, sastavljanje popisa LNK datoteke i krađu e-pošte korištenjem MAPI-ja.

Ove funkcionalnosti omogućuju Kazuaru provođenje sustavnog nadzora i izvlačenje podataka iz zaraženih strojeva, osnažujući zlonamjerne aktere mnoštvom osjetljivih informacija. Iskorištavanjem ovih automatiziranih zadataka, Kazuar usmjerava proces izviđanja i eksfiltracije podataka, povećavajući svoju učinkovitost kao alata za kibernetičku špijunažu i zlonamjerne aktivnosti.

Ažurirani zlonamjerni softver Kazuar opremljen je opsežnim mogućnostima anti-analize

Kazuar koristi niz sofisticiranih tehnika protiv analize pažljivo dizajniranih da izbjegnu otkrivanje i ispitivanje. Programiran od strane svojih kreatora, Kazuar dinamički prilagođava svoje ponašanje na temelju prisutnosti analitičkih aktivnosti. Kada utvrdi da nije u tijeku analiza, Kazuar nastavlja s radom. Međutim, ako otkrije bilo kakvu naznaku otklanjanja pogrešaka ili analize, odmah ulazi u stanje mirovanja, zaustavljajući svu komunikaciju sa svojim poslužiteljem za upravljanje i kontrolu (C2).

Antidampinški

S obzirom da Kazuar radi kao ubrizgana komponenta unutar drugog procesa, a ne kao autonomni entitet, nazire se mogućnost izdvajanja njegovog koda iz memorije glavnog procesa. Kako bi spriječio ovu ranjivost, Kazuar vješto koristi robusnu značajku unutar .NET-a, System.Reflection Namespace. Ova sposobnost daje Kazuaru agilnost za dohvaćanje metapodataka koji se odnose na njegovu montažu, dinamičke metode i druge kritične elemente u stvarnom vremenu, jačajući njegovu obranu od potencijalnih nastojanja ekstrakcije koda.

Uz to, Kazuar provodi obrambenu mjeru provjerom je li postavka antidump_methods omogućena. U takvim slučajevima, nadjačava pokazivače na svoje prilagođene metode dok zanemaruje generičke .NET metode, učinkovito ih brišući iz memorije. Kao što dokazuje Kazuarova zabilježena poruka, ovaj proaktivni pristup služi za sprječavanje istraživača u izvlačenju netaknute verzije zlonamjernog softvera, čime se povećava njegova otpornost na analizu i otkrivanje.

Honeypot Provjera

Među svojim početnim zadacima, Kazuar marljivo skenira tražeći bilo kakve znakove honeypot artefakata na ciljnom stroju. Da bi se to postiglo, poziva se na unaprijed definirani popis naziva procesa i naziva datoteka, koristeći tvrdo kodirani pristup. Ako Kazuar naiđe na više od pet instanci ovih navedenih datoteka ili procesa, odmah bilježi otkriće kao pokazatelj prisutnosti honeypot-a.

Provjera alata za analizu

Kazuar održava popis unaprijed definiranih naziva koji predstavljaju različite široko korištene alate za analizu. Sustavno pregledava popis prema aktivnim procesima u sustavu. Nakon otkrivanja rada bilo kojeg od ovih alata, Kazuar odmah registrira nalaz, ukazujući na prisutnost alata za analizu.

Provjera sandboxa

Kazuar posjeduje skup unaprijed određenih knjižnica sandboxa tvrdo kodiranih u njegov sustav. Provodi skeniranje kako bi identificirao specifične DLL-ove povezane s različitim servisima sandboxa. Nakon što je naišao na ove datoteke, Kazuar zaključuje da radi u laboratorijskom okruženju, što ga je natjeralo da prekine svoje operacije.

Event Log Monitor

Kazuar sustavno prikuplja i tumači događaje zabilježene u Windows zapisnicima događaja. Posebno cilja na događaje koji potječu od odabira anti-malware i sigurnosnih dobavljača. Ovaj namjerni fokus usklađen je s njegovom strategijom praćenja aktivnosti povezanih s naširoko korištenim sigurnosnim proizvodima pod vjerojatnom pretpostavkom da ti alati prevladavaju među potencijalnim metama.

Zlonamjerni softver Kazuar i dalje predstavlja glavnu prijetnju u digitalnom prostoru

Najnovija varijanta zlonamjernog softvera Kazuar, nedavno identificirana u divljini, pokazuje nekoliko značajnih atributa. Uključuje robustan kod i tehnike zamagljivanja nizova uz višenitni model za poboljšane performanse. Nadalje, implementiran je niz shema šifriranja kako bi se Kazuarov kod zaštitio od analize i sakrio njegovi podaci, bilo u memoriji, tijekom prijenosa ili na disku. Ove značajke zajednički imaju za cilj podariti stražnjim vratima Kazuar povećanu razinu skrivenosti.

Osim toga, ova iteracija zlonamjernog softvera pokazuje sofisticirane funkcije anti-analize i opsežne mogućnosti profiliranja sustava. Njegovo specifično ciljanje na aplikacije u oblaku je vrijedno spomena. Štoviše, ova verzija Kazuara može se pohvaliti podrškom za opsežan niz od preko 40 različitih naredbi, od kojih polovica prethodno nije bila dokumentirana od strane istraživača kibernetičke sigurnosti.

Kako se zaštititi od Kazuara

Kao i kod svake vrste prijetnje, glavna stvar koju možete učiniti da zaštitite svoje računalo je izbjegavanje otvaranja privitaka i poveznica e-pošte. Nemojte komunicirati s e-poštom ako ne znate odakle je stigla. Također, redovito sigurnosno kopirajte svoje najvažnije podatke. Pomaže i imati višestruke sigurnosne kopije, jer što više sigurnosnih kopija imate, veće su vaše šanse da vratite stvari u normalu u slučaju Kazuara ili nekog drugog zlonamjernog softvera.

Na kraju, ali ne manje važno, želite biti sigurni da su svi vaši programi i aplikacije ažurni. Ne zaboravite redovito ažurirati svoj operativni sustav. Računalne prijetnje napreduju kroz iskorištavanje u operativnim sustavima i softveru, stoga im ne dopustite da se zadržavaju.