Multi-License Discount Quote
Database delle minacce Backdoors Kazuar

Kazuar

Entro GoldSparrow nel Backdoors
Traduci in:
Italiano

I ricercatori hanno scoperto un trojan backdoor chiamato Kazuar. Si è scoperto che Kazuar è collegato a una campagna di spionaggio e sembra essere scritto con Microsoft .NET Framework. Kazuar consente agli aggressori di ottenere l'accesso completo a un sistema compromesso.

Kazuar ha diverse potenziali funzioni e comandi, inclusa la possibilità di caricare plugin da remoto. Questi plugin conferiscono al Trojan maggiori capacità e lo rendono più una minaccia. C'era anche un codice nel ceppo osservato che suggeriva che esistessero versioni Linux e Mac di Kazuar nel mondo. Una cosa che risalta di Kazuar è che funziona attraverso un'API (Application Programming Interface) connessa a un server web e potrebbe essere il primo – e unico – virus ad agire in questo modo.

Chi c'è dietro Kazuar?

I ricercatori ritengono che Kazuar sia collegato a Turla , un gruppo APT (Advanced Persistent Threat), noto anche per operare sotto i nomi Snake e Uroburos . Turla è noto per le sue capacità avanzate e per essere un gruppo di minaccia informatica di lunga data con sede in Russia con presunti legami con il Servizio di sicurezza federale russo (FSB). Il gruppo prende di mira con i suoi attacchi ambasciate, istituti scolastici, appaltatori della difesa e organizzazioni di ricerca. Turla ha una sorta di firma nel codice che identifica gli strumenti come propri, e il codice utilizzato per Kazuar può essere fatto risalire almeno al 2005.

Turla ha utilizzato una serie di strumenti nel suo tempo, la maggior parte dei quali vengono implementati nella seconda fase degli attacchi all'interno di ambienti compromessi. Kazuar potrebbe rappresentare una nuova modalità con cui il gruppo Turla gestisce le operazioni.

Cosa fa Kazuar?

Kazuar è un trojan backdoor, che rappresenta una delle più grandi categorie di minacce digitali. I trojan backdoor possono essere programmi costosi e completi con una vasta gamma di funzionalità, oppure potrebbero essere semplici programmi che non fanno altro che eseguire il ping di un server. Kazuar, in particolare, che prende il nome dall'uccello casuario del sud-est asiatico, è più un tradizionale trojan backdoor. Sebbene Kazuar sia relativamente semplice, presenta alcune caratteristiche nascoste che lo rendono più una minaccia rispetto ai tipici trojan backdoor come PowerStallion o Neuron .

Kazuar si propone di evitare di essere scoperto mentre gli hacker di Turla raccolgono informazioni dai loro obiettivi. Anche se Kazuar è un'applicazione .NET Framework, dispone anche di funzionalità che la rendono compatibile con i sistemi Mac e Unix/Linux. Finora, tuttavia, sono state individuate solo varianti Windows.

Dai un'occhiata al codice di Kazuar e vedrai quanto lavoro è stato dedicato a questo virus. Kazuar dispone di una routine di configurazione avanzata ed è in grado di adattarsi ai computer vulnerabili stabilendo la persistenza attraverso una serie di metodi. Il virus crea DLL e sfrutta i servizi Windows e le funzioni .NET Framework per rimanere su un computer. Una volta che il virus è attivo e funzionante, fornirà all'aggressore informazioni sul computer di destinazione e gli consentirà di prendere il controllo. Gli aggressori sono in grado di caricare file, acquisire screenshot, attivare webcam, copiare dati, avviare file eseguibili ed eseguire altre attività tramite moduli opzionali.

Vale la pena prendere nota della funzionalità API. Virus come questo si connettono principalmente ai server di comando e controllo (server C2) e attendono istruzioni. Kazuar si distingue perché è in grado di creare un server Web sempre in ascolto che aiuta il virus a evitare firewall e rilevamenti anti-malware.

Come fa Kazuar a infettare i computer?

Il malware Kazuar infetta i computer attraverso diversi metodi. I più comuni sono pacchetti di software dannosi, spam via e-mail, condivisione di rete, collegamenti dannosi e accesso a unità flash infette. Kazuar causerà sicuramente un'enorme quantità di danni una volta entrato nel tuo computer.

Le vittime hanno riferito di aver dovuto affrontare guasti del disco rigido, arresti anomali frequenti, applicazioni danneggiate e altro ancora. Questo per non parlare del danno reale che potrebbe causare in termini di perdita finanziaria o furto di identità. Dovresti adottare misure per proteggerti da Kazuar e rimuovere qualsiasi infezione il prima possibile.

Dopo aver infettato un dispositivo preso di mira, il malware Kazuar raccoglieva alcune informazioni relative al software e all'hardware dell'host infetto. Inoltre, la minaccia Kazuar genererebbe un mutex univoco basato sull'ID seriale del disco rigido e sul nome utente dell'utente attivo. Questa fase dell'attacco serve a rilevare se sul computer infetto sono in esecuzione due varianti del malware Kazuar. Una volta completata questa operazione, il malware Kazuar procederà con l’attacco guadagnando persistenza sull’host. Ciò si ottiene modificando il registro di Windows del sistema. Successivamente, il malware Kazuar si connetterebbe al server C&C (Command & Control) dei suoi operatori e attenderebbe di ricevere i comandi da loro. Tra le caratteristiche principali del malware Kazuar c'è:

  • Acquisizione di screenshot delle finestre attive e del desktop dell'utente.
  • Download di file.
  • Caricamento file.
  • Registrazione di filmati tramite la fotocamera del sistema.
  • Gestire i processi in corso.
  • Esecuzione di comandi remoti.
  • Elencare e gestire i plugin attivi della minaccia.
  • Aggiornamento stesso e del suo elenco di server C&C.
  • Autodistruttivo.

    • Questo lungo elenco di funzionalità consente al malware Kazuar di causare danni significativi a qualsiasi sistema riesca a infiltrarsi. Poiché è probabile che i creatori della minaccia Kazuar stiano lavorando su un'iterazione di questo malware compatibile con OSX, ancora più utenti saranno a rischio. Per proteggere il tuo sistema da parassiti come la minaccia Kazuar, assicurati di scaricare e installare una vera suite di software anti-malware che si prenderà cura della tua sicurezza informatica e manterrà i tuoi dati al sicuro.

    Turla schiera la nuova variante Kazuar contro obiettivi in Ucraina

    Dalla sua scoperta iniziale nel 2017, Kazuar è emerso sporadicamente in natura, colpendo principalmente le organizzazioni all’interno delle sfere governative e militari europee. La sua connessione alla backdoor Sunburst , evidenziata dalle somiglianze del codice, ne sottolinea la natura sofisticata. Sebbene dalla fine del 2020 non siano emersi nuovi campioni di Kazuar, i rapporti suggerivano sforzi di sviluppo in corso nell’ombra.

    L'analisi del codice Kazuar aggiornato evidenzia uno sforzo concertato da parte dei suoi creatori per migliorare le sue capacità furtive, eludere i meccanismi di rilevamento e contrastare i tentativi di analisi. Ciò si ottiene attraverso una serie di metodi anti-analisi avanzati abbinati a robuste tecniche di crittografia e offuscamento per salvaguardare l’integrità del codice malware.

    La funzionalità principale della nuova variante del malware Kazuar

    In tipico stile Turla, Kazuar impiega una strategia che prevede l'utilizzo di siti Web legittimi violati per la sua infrastruttura di comando e controllo (C2), eludendo così le eliminazioni. Inoltre, Kazuar facilita la comunicazione tramite pipe denominate, utilizzando entrambi i metodi per ricevere comandi o attività remote.

    Kazuar vanta il supporto per 45 attività distinte all'interno del suo framework C2, rappresentando un notevole progresso nella sua funzionalità rispetto alle versioni precedenti. La ricerca precedente non aveva documentato alcuni di questi compiti. Al contrario, la variante iniziale di Kazuar analizzata nel 2017 supportava solo 26 comandi C2.

    L'elenco dei comandi riconosciuti da Kazuar comprende varie categorie, tra cui:

    • Raccolta dati dell'ospite
    • Raccolta estesa di dati forensi
    • Manipolazione dei file
    • Esecuzione di comandi arbitrari
    • Interagire con le impostazioni di configurazione di Kazuar
  • Interrogare e manipolare il registro di Windows
  • Esecuzione di script (VBS, PowerShell, JavaScript)
  • Invio di richieste di rete personalizzate
  • Furto di credenziali e informazioni sensibili

    • Il furto di dati rimane tra le massime priorità per Turla

    Kazuar possiede la capacità di raccogliere credenziali da vari artefatti all'interno del computer compromesso, attivate da comandi come "steal" o "unattend" ricevuti dal server Command-and-Control (C2). Questi artefatti comprendono numerose applicazioni cloud ben note.

    Inoltre, Kazuar può prendere di mira file sensibili contenenti credenziali associate a queste applicazioni. Tra gli artefatti presi di mira ci sono Git SCM (un popolare sistema di controllo del codice sorgente tra gli sviluppatori) e Signal (una piattaforma di messaggistica crittografata per comunicazioni private).

    Dopo aver generato un thread di risoluzione unico, Kazuar avvia automaticamente un'estesa attività di profilazione del sistema, soprannominata "first_systeminfo_do" dai suoi creatori. Questo compito comporta la raccolta e la profilazione approfondita del sistema preso di mira. Kazuar raccoglie informazioni complete sulla macchina infetta, inclusi dettagli sul sistema operativo, specifiche hardware e configurazione di rete.

    I dati raccolti vengono archiviati in un file "info.txt", mentre i log di esecuzione vengono salvati in un file "logs.txt". Inoltre, come parte di questa attività, il malware cattura uno screenshot dello schermo dell'utente. Tutti i file raccolti vengono quindi raggruppati in un unico archivio, crittografati e inviati al C2.

    Kazuar stabilisce più attività automatizzate sui dispositivi infetti

    Kazuar possiede la capacità di stabilire procedure automatizzate che vengono eseguite a intervalli predefiniti allo scopo di recuperare dati da sistemi compromessi. Queste attività automatizzate comprendono una serie di funzioni, tra cui la raccolta di informazioni complete sul sistema, come descritto in dettaglio nella sezione sulla profilazione completa del sistema, l'acquisizione di schermate, l'estrazione di credenziali, il recupero di dati forensi, l'acquisizione di dati di esecuzione automatica, l'ottenimento di file da cartelle designate, la compilazione di un elenco di LNK e furto di e-mail tramite l'uso di MAPI.

    Queste funzionalità consentono a Kazuar di condurre una sorveglianza sistematica e di estrarre dati dalle macchine infette, fornendo agli autori malintenzionati una miriade di informazioni sensibili. Sfruttando queste attività automatizzate, Kazuar semplifica il processo di ricognizione ed esfiltrazione dei dati, migliorandone l'efficacia come strumento di spionaggio informatico e attività dannose.

    Il malware Kazuar aggiornato è dotato di estese funzionalità anti-analisi

    Kazuar impiega una varietà di sofisticate tecniche anti-analisi meticolosamente progettate per eludere il rilevamento e l'esame accurato. Programmato dai suoi creatori, Kazuar regola dinamicamente il suo comportamento in base alla presenza di attività di analisi. Quando accerta che non è in corso alcuna analisi, Kazuar procede con le sue operazioni. Tuttavia, se rileva qualsiasi indicazione di debug o analisi, entra immediatamente in uno stato inattivo, interrompendo tutte le comunicazioni con il suo server di comando e controllo (C2).

    Antidumping

    Dato che Kazuar opera come un componente inserito all'interno di un altro processo piuttosto che come un'entità autonoma, si profila la prospettiva di estrarre il suo codice dalla memoria del processo ospite. Per contrastare questa vulnerabilità, Kazuar fa un uso esperto di una solida funzionalità all'interno di .NET, lo spazio dei nomi System.Reflection. Questa capacità garantisce a Kazuar l'agilità di recuperare metadati relativi al suo assemblaggio, ai metodi in modo dinamico e ad altri elementi critici in tempo reale, rafforzando le sue difese contro potenziali tentativi di estrazione del codice.

    Inoltre, Kazuar implementa una misura difensiva controllando se l'impostazione antidump_methods è abilitata. In questi casi, sovrascrive i puntatori ai suoi metodi personalizzati ignorando i metodi .NET generici, cancellandoli di fatto dalla memoria. Come evidenziato dal messaggio registrato di Kazuar, questo approccio proattivo serve a impedire ai ricercatori di estrarre una versione intatta del malware, migliorando così la sua resilienza all'analisi e al rilevamento.

    Controllo dell'honeypot

    Tra i suoi compiti iniziali, Kazuar scansiona diligentemente eventuali segni di artefatti honeypot sulla macchina bersaglio. Per raggiungere questo obiettivo, fa riferimento a un elenco predefinito di nomi di processi e nomi di file, utilizzando un approccio hardcoded. Se Kazuar incontra più di cinque istanze di questi file o processi specificati, registra immediatamente la scoperta come indicativa della presenza di un honeypot.

    Controllo degli strumenti di analisi

    Kazuar mantiene un elenco di nomi predefiniti che rappresentano vari strumenti di analisi ampiamente utilizzati. Esamina sistematicamente l'elenco rispetto ai processi attivi sul sistema. Non appena rileva il funzionamento di uno qualsiasi di questi strumenti, Kazuar registra tempestivamente il risultato, indicando la presenza di strumenti di analisi.

    Controllo della sandbox

    Kazuar possiede una serie di librerie sandbox predeterminate codificate nel suo sistema. Esegue scansioni per identificare DLL specifiche associate a vari servizi sandbox. Dopo aver incontrato questi file, Kazuar conclude che sta funzionando all'interno di un ambiente di laboratorio, spingendolo a cessare le sue operazioni.

    Monitoraggio del registro eventi

    Kazuar raccoglie e interpreta sistematicamente gli eventi registrati nei registri eventi di Windows. Si rivolge specificamente agli eventi originati da una selezione di fornitori di antimalware e sicurezza. Questa attenzione deliberata è in linea con la sua strategia di monitoraggio delle attività associate a prodotti di sicurezza ampiamente utilizzati, partendo dal presupposto plausibile che questi strumenti siano prevalenti tra i potenziali obiettivi.

    Il malware Kazuar continua a rappresentare una grave minaccia nello spazio digitale

    L'ultima variante del malware Kazuar, recentemente identificata in circolazione, presenta diverse caratteristiche degne di nota. Incorpora robuste tecniche di offuscamento del codice e delle stringhe insieme a un modello multithread per prestazioni migliorate. Inoltre, viene implementata una serie di schemi di crittografia per salvaguardare il codice di Kazuar dall'analisi e per nasconderne i dati, sia in memoria, durante la trasmissione o su disco. Queste funzionalità mirano collettivamente a dotare la backdoor di Kazuar con un elevato livello di azione furtiva.

    Inoltre, questa iterazione del malware presenta sofisticate funzionalità anti-analisi e ampie capacità di profilazione del sistema. Degno di nota è il suo targeting specifico per le applicazioni cloud. Inoltre, questa versione di Kazuar vanta il supporto per una vasta gamma di oltre 40 comandi distinti, metà dei quali precedentemente non documentati dai ricercatori di sicurezza informatica.

    Come proteggersi da Kazuar

    Come con qualsiasi tipo di minaccia, la cosa principale che puoi fare per proteggere il tuo computer è evitare di aprire allegati e collegamenti di posta elettronica. Non interagire con l'e-mail se non sai da dove proviene. Inoltre, assicurati di eseguire regolarmente il backup dei tuoi dati più importanti. È utile anche avere più backup, poiché più backup hai, maggiori sono le possibilità di riportare le cose alla normalità in caso di Kazuar o di un altro malware.

    Ultimo ma non meno importante, vuoi assicurarti che tutti i tuoi programmi e applicazioni siano aggiornati. Non dimenticare di aggiornare il tuo sistema operativo troppo regolarmente. Le minacce informatiche prosperano attraverso gli exploit nei sistemi operativi e nel software, quindi non lasciarli persistere.

    Tendenza

    I più visti

    Caricamento in corso...