Kazuar

연구원들이 Kazuar라는 백도어 트로이 목마를 발견했습니다. Kazuar는 간첩 활동과 연결된 것으로 밝혀졌으며 Microsoft .NET Framework로 작성된 것으로 보입니다. Kazuar를 사용하면 공격자는 손상된 시스템에 대한 완전한 액세스 권한을 얻을 수 있습니다.

Kazuar에는 원격으로 플러그인을 로드하는 기능을 포함하여 여러 가지 잠재적인 기능과 명령이 있습니다. 이러한 플러그인은 트로이 목마에 더 큰 기능을 제공하고 더 큰 위협이 됩니다. 관찰된 변종에는 Kazuar의 Linux 및 Mac 버전이 전 세계에 존재함을 암시하는 코드도 있었습니다. Kazuar에서 눈에 띄는 점 중 하나는 웹 서버에 연결된 API(응용 프로그래밍 인터페이스)를 통해 작동한다는 점이며, 이러한 방식으로 작동하는 최초이자 유일한 바이러스일 수 있습니다.

Kazuar 배후는 누구인가?

연구원들은 Kazuar가 Snake 및 Uroburos 라는 이름으로 활동하는 것으로 알려진 APT(Advanced Persistant Threat) 그룹인 Turla 와 연결되어 있다고 믿고 있습니다. Turla는 고급 기능으로 잘 알려져 있으며, 러시아 연방보안국(FSB)과 관련이 있는 것으로 알려진 러시아 기반의 오랜 사이버 위협 그룹입니다. 이 그룹은 공격 대상으로 대사관, 교육 기관, 방산업체, 연구 기관을 대상으로 합니다. Turla의 코드에는 도구를 자신의 것으로 식별하는 서명이 있으며 Kazuar에 사용된 코드는 최소한 2005년까지 거슬러 올라갑니다.

Turla는 그 당시 다양한 도구를 사용해 왔으며, 대부분은 손상된 환경 내 공격의 두 번째 단계에 배포되었습니다. Kazuar는 Turla 그룹이 작업을 처리하는 새로운 방법 중 하나일 수 있습니다.

카주아르는 무엇을 하나요?

Kazuar는 디지털 위협의 가장 큰 범주 중 하나인 백도어 트로이 목마입니다. 백도어 트로이 목마는 다양한 기능을 갖춘 비싸고 포괄적인 프로그램일 수도 있고, 서버에 ping만 보내는 간단한 프로그램일 수도 있습니다. 특히 동남아시아의 화식조 새의 이름을 딴 Kazuar는 전통적인 백도어 트로이 목마에 더 가깝습니다. Kazuar는 상대적으로 기본적이지만 PowerStallion 또는 Neuron 과 같은 일반적인 백도어 트로이 목마보다 더 큰 위협이 되는 몇 가지 숨겨진 기능을 가지고 있습니다.

Kazuar는 Turla 해커가 목표물로부터 정보를 수집하는 동안 발각되지 않기 위해 출발합니다. Kazuar는 .NET Framework 애플리케이션이지만 Mac 및 Unix/Linux 시스템과 호환되는 기능도 갖추고 있습니다. 그러나 지금까지는 Windows 변종만이 실제로 발견되었습니다.

Kazuar의 코드를 살펴보면 이 바이러스에 얼마나 많은 작업이 투입되었는지 알 수 있습니다. Kazuar는 향상된 설정 루틴을 갖추고 있으며 다양한 방법을 통해 지속성을 설정하여 취약한 컴퓨터에 적응할 수 있습니다. 이 바이러스는 DLL을 생성하고 Windows 서비스 및 .NET Framework 기능을 이용하여 컴퓨터에 남아 있습니다. 바이러스가 일단 실행되면 공격자에게 대상 컴퓨터에 대한 정보를 제공하고 제어권을 갖게 됩니다. 공격자는 선택적 모듈을 통해 파일 업로드, 스크린샷 찍기, 웹캠 활성화, 데이터 복사, 실행 파일 실행 및 기타 작업을 수행할 수 있습니다.

API 기능에 주목할 가치가 있습니다. 이와 같은 바이러스는 주로 명령 및 제어 서버(C2 서버)에 연결하여 지시를 기다립니다. Kazuar는 바이러스가 방화벽과 맬웨어 방지 탐지를 피하도록 돕는 항상 청취하는 웹 서버를 생성할 수 있다는 점에서 두드러집니다.

Kazuar는 컴퓨터를 어떻게 감염시킵니까?

Kazuar 악성코드는 다양한 방법을 통해 컴퓨터를 감염시킵니다. 가장 흔한 것은 악성 소프트웨어 번들, 이메일 스팸, 네트워크 공유, 악성 링크, 감염된 플래시 드라이브 액세스 등입니다. Kazuar는 일단 컴퓨터에 설치되면 막대한 피해를 입힐 것이 확실합니다.

피해자들은 하드 드라이브 오류, 잦은 충돌, 손상된 애플리케이션 등을 처리해야 한다고 보고했습니다. 즉, 금전적 손실이나 신원 도용 측면에서 발생할 수 있는 실제 피해는 전혀 없습니다. Kazuar로부터 자신을 보호하고 가능한 한 빨리 감염을 제거하기 위한 조치를 취해야 합니다.

Kazuar 악성 코드는 대상 장치를 감염시키면 감염된 호스트의 소프트웨어 및 하드웨어에 관한 일부 정보를 수집합니다. 또한 Kazuar 위협은 하드 디스크의 일련 ID와 활성 사용자의 사용자 이름을 기반으로 고유한 뮤텍스를 생성합니다. 이 공격 단계는 감염된 컴퓨터에서 두 가지 변종 Kazuar 악성 코드가 실행되고 있는지 여부를 탐지하는 역할을 합니다. 이 작업이 완료되면 Kazuar 악성코드는 호스트에 지속성을 확보하여 공격을 진행합니다. 이는 시스템의 Windows 레지스트리를 수정하여 수행됩니다. 다음으로 Kazuar 악성코드는 운영자의 C&C(Command & Control) 서버에 연결하여 운영자의 명령을 기다립니다. Kazuar 악성코드의 주요 특징은 다음과 같습니다.

• 사용자의 활성 창과 데스크탑의 스크린샷을 찍습니다.
• 파일을 다운로드하는 중입니다.
• 파일을 업로드하는 중입니다.
• 시스템 카메라를 통해 영상을 녹화합니다.
• 실행 중인 프로세스를 관리합니다.
• 원격 명령을 실행 중입니다.
• 위협의 활성 플러그인을 나열하고 관리합니다.
• 자체 및 C&C 서버 목록을 업데이트합니다.

• 자기 파괴.

이러한 다양한 기능 목록을 통해 Kazuar 악성 코드는 침투한 모든 시스템에 심각한 피해를 입힐 수 있습니다. Kazuar 위협의 제작자가 이 악성코드의 OSX 호환 버전을 개발 중일 가능성이 높으므로 더 많은 사용자가 위험에 노출될 것입니다. Kazuar 위협과 같은 해충으로부터 시스템을 보호하려면 사이버 보안을 관리하고 데이터를 안전하게 유지하는 정품 맬웨어 방지 소프트웨어 제품군을 다운로드하여 설치하십시오.

Turla, 우크라이나의 표적을 대상으로 새로운 Kazuar 변종 배포

Kazuar는 2017년 처음 탐지된 이후 야생에서 산발적으로 표면화되었으며 주로 유럽 정부 및 군사 분야의 조직에 영향을 미쳤습니다. 코드 유사성으로 입증된 Sunburst 백도어와의 연결은 이 백도어의 정교한 특성을 강조합니다. 2020년 말 이후로 새로운 Kazuar 샘플이 등장하지 않았지만 보고서에 따르면 그림자 속에서 지속적인 개발 노력이 진행되고 있는 것으로 나타났습니다.

업데이트된 Kazuar 코드 분석은 스텔스 기능을 강화하고 탐지 메커니즘을 회피하며 분석 노력을 방해하려는 제작자의 공동 노력을 강조합니다. 이는 악성코드 코드의 무결성을 보호하기 위한 강력한 암호화 및 난독화 기술과 결합된 다양한 고급 안티분석 방법을 통해 달성됩니다.

새로운 Kazuar 악성코드 변종의 핵심 기능

일반적인 Turla 방식에서 Kazuar는 C2(명령 및 제어) 인프라에 하이재킹된 합법적인 웹사이트를 활용하여 게시 중단을 피하는 전략을 사용합니다. 또한 Kazuar는 원격 명령이나 작업을 수신하기 위해 두 가지 방법을 모두 활용하여 명명된 파이프를 통한 통신을 용이하게 합니다.

Kazuar는 C2 프레임워크 내에서 45개의 개별 작업에 대한 지원을 자랑하며, 이는 이전 버전에 비해 기능 면에서 눈에 띄는 발전을 나타냅니다. 이전 연구에서는 이러한 작업 중 일부를 문서화하지 않았습니다. 반면 2017년 분석된 Kazuar의 초기 변종은 C2 명령을 26개만 지원했습니다.

Kazuar의 인식된 명령 목록은 다음을 포함하여 다양한 범주에 걸쳐 있습니다.

• 호스트 데이터 수집
• 확장된 포렌식 데이터 수집
• 파일 조작
• 임의 명령 실행
• Kazuar의 구성 설정과 상호 작용
• Windows 레지스트리 쿼리 및 조작

• 스크립트 실행(VBS, PowerShell, JavaScript)

• 커스텀 네트워크 요청 보내기

• 자격 증명 및 민감한 정보의 도난

데이터 도난은 여전히 Turla의 최우선 과제 중 하나입니다.

Kazuar는 C2(명령 및 제어) 서버에서 수신한 '도용' 또는 '무인'과 같은 명령에 의해 트리거되는 손상된 컴퓨터 내의 다양한 아티팩트에서 자격 증명을 수집하는 기능을 보유하고 있습니다. 이러한 아티팩트는 잘 알려진 수많은 클라우드 애플리케이션을 포함합니다.

또한 Kazuar는 이러한 애플리케이션과 관련된 자격 증명이 포함된 민감한 파일을 대상으로 삼을 수 있습니다. 대상 아티팩트 중에는 Git SCM(개발자 사이에서 널리 사용되는 소스 제어 시스템) 및 Signal(개인 통신을 위한 암호화된 메시징 플랫폼)이 있습니다.

고유한 솔버 스레드를 생성하면 Kazuar는 제작자가 'first_systeminfo_do'라고 부르는 광범위한 시스템 프로파일링 작업을 자동으로 시작합니다. 이 작업에는 대상 시스템의 철저한 수집 및 프로파일링이 수반됩니다. Kazuar는 운영 체제, 하드웨어 사양, 네트워크 구성에 대한 세부 정보를 포함하여 감염된 시스템에 대한 포괄적인 정보를 수집합니다.

수집된 데이터는 'info.txt' 파일에 저장되고, 실행 로그는 'logs.txt' 파일에 저장됩니다. 또한 이 작업의 일부로 악성코드는 사용자 화면의 스크린샷을 캡처합니다. 수집된 모든 파일은 단일 아카이브로 묶이고 암호화된 후 C2로 전달됩니다.

Kazuar는 감염된 장치에 대해 여러 자동화된 작업을 설정합니다.

Kazuar는 손상된 시스템에서 데이터를 검색할 목적으로 미리 정의된 간격으로 실행되는 자동화된 절차를 설정하는 기능을 보유하고 있습니다. 이러한 자동화된 작업에는 포괄적인 시스템 프로파일링 섹션에 설명된 대로 포괄적인 시스템 정보 수집, 스크린샷 캡처, 자격 증명 추출, 포렌식 데이터 검색, 자동 실행 데이터 수집, 지정된 폴더에서 파일 가져오기, 목록 컴파일 등 다양한 기능이 포함됩니다. LNK 파일 및 MAPI를 사용하여 이메일을 훔치는 행위.

이러한 기능을 통해 Kazuar는 감염된 시스템에서 체계적인 감시 및 데이터 추출을 수행하여 악의적인 행위자가 과다한 민감한 정보를 얻을 수 있게 되었습니다. Kazuar는 이러한 자동화된 작업을 활용하여 정찰 및 데이터 유출 프로세스를 간소화하고 사이버 스파이 활동 및 악의적 활동을 위한 도구로서의 효율성을 향상시킵니다.

업데이트된 Kazuar 악성코드에는 광범위한 안티분석 기능이 탑재되어 있습니다

Kazuar는 탐지 및 정밀 조사를 회피하기 위해 꼼꼼하게 설계된 다양하고 정교한 안티분석 기술을 사용합니다. 제작자가 프로그래밍한 Kazuar는 분석 활동의 존재 여부에 따라 동작을 동적으로 조정합니다. 진행 중인 분석이 없다고 판단되면 Kazuar는 작업을 진행합니다. 그러나 디버깅이나 분석 징후가 감지되면 즉시 유휴 상태로 들어가 명령 및 제어(C2) 서버와의 모든 통신을 중단합니다.

덤핑 방지

Kazuar가 자율적 개체가 아닌 다른 프로세스 내에서 주입된 구성 요소로 작동한다는 점을 고려하면 호스트 프로세스의 메모리에서 해당 코드를 추출할 가능성이 높습니다. 이 취약점에 대응하기 위해 Kazuar는 .NET 내의 강력한 기능인 System.Reflection 네임스페이스를 능숙하게 사용합니다. 이 기능을 통해 Kazuar는 어셈블리, 메서드 및 기타 중요한 요소와 관련된 메타데이터를 실시간으로 검색할 수 있는 민첩성을 확보하여 잠재적인 코드 추출 노력에 대한 방어력을 강화합니다.

또한 Kazuar는 antidump_methods 설정이 활성화되어 있는지 면밀히 조사하여 방어 조치를 구현합니다. 이러한 경우 일반 .NET 메서드를 무시하고 맞춤형 메서드에 대한 포인터를 재정의하여 메모리에서 효과적으로 지웁니다. Kazuar가 기록한 메시지에서 알 수 있듯이 이러한 사전 예방적 접근 방식은 연구원들이 멀웨어의 온전한 버전을 추출하는 것을 방해하여 분석 및 탐지에 대한 복원력을 향상시킵니다.

허니팟 체크

초기 작업 중 Kazuar는 대상 시스템에서 허니팟 아티팩트의 흔적을 부지런히 검색합니다. 이를 달성하기 위해 하드코딩된 접근 방식을 사용하여 미리 정의된 프로세스 이름 및 파일 이름 목록을 참조합니다. Kazuar는 지정된 파일이나 프로세스의 인스턴스를 5개 이상 발견하면 허니팟 존재를 나타내는 발견을 즉시 기록합니다.

분석 도구 확인

Kazuar는 널리 사용되는 다양한 분석 도구를 나타내는 사전 정의된 이름 목록을 유지 관리합니다. 시스템의 활성 프로세스에 대해 명단을 체계적으로 검토합니다. Kazuar는 이러한 도구의 작동을 감지하면 즉시 결과를 등록하여 분석 도구가 있음을 나타냅니다.

샌드박스 확인

Kazuar는 시스템에 하드코딩된 미리 결정된 샌드박스 라이브러리 세트를 보유하고 있습니다. 다양한 샌드박스 서비스와 관련된 특정 DLL을 식별하기 위해 검사를 수행합니다. 이러한 파일을 발견한 Kazuar는 해당 파일이 실험실 환경에서 실행되고 있다고 결론을 내리고 작업을 중단하라는 메시지를 표시합니다.

이벤트 로그 모니터

Kazuar는 Windows 이벤트 로그에 기록된 이벤트를 체계적으로 수집하고 해석합니다. 특히 선택된 맬웨어 방지 및 보안 공급업체에서 발생하는 이벤트를 대상으로 합니다. 이러한 의도적인 초점은 널리 사용되는 보안 제품과 관련된 활동을 모니터링하는 전략과 일치하며, 이러한 도구가 잠재적인 표적 사이에 널리 퍼져 있다는 그럴듯한 가정하에 이루어집니다.

Kazuar 악성 코드는 계속해서 디지털 공간에서 주요 위협을 나타냅니다.

최근에 발견된 Kazuar 악성코드의 최신 변종은 몇 가지 주목할 만한 특성을 보여줍니다. 향상된 성능을 위해 멀티스레드 모델과 함께 강력한 코드 및 문자열 난독화 기술을 통합합니다. 또한 Kazuar의 코드를 분석으로부터 보호하고 메모리, 전송 중 또는 디스크에서 데이터를 숨기기 위해 다양한 암호화 체계가 구현되었습니다. 이러한 기능은 Kazuar 백도어에 향상된 은폐 수준을 부여하는 것을 총체적으로 목표로 합니다.

또한 이러한 악성 코드 반복은 정교한 안티분석 기능과 광범위한 시스템 프로파일링 기능을 보여줍니다. 클라우드 애플리케이션을 구체적으로 겨냥한 점은 주목할 만합니다. 더욱이 Kazuar의 이 버전은 40개가 넘는 다양한 명령에 대한 지원을 자랑하며, 그 중 절반은 이전에 사이버 보안 연구원에 의해 문서화되지 않았습니다.

Kazuar로부터 보호하는 방법

모든 종류의 위협과 마찬가지로 컴퓨터를 보호하기 위해 할 수 있는 가장 중요한 일은 이메일 첨부 파일과 링크를 열지 않는 것입니다. 이메일이 어디서 왔는지 모르는 경우 이메일과 상호작용하지 마세요. 또한 가장 중요한 데이터를 정기적으로 백업하십시오. 여러 개의 백업을 갖는 것도 도움이 됩니다. 백업이 많을수록 Kazuar 또는 다른 악성 코드가 발생한 경우 상황을 정상으로 되돌릴 가능성이 높아지기 때문입니다.

마지막으로 모든 프로그램과 애플리케이션이 최신 상태인지 확인해야 합니다. 너무 정기적으로 운영 체제를 업데이트하는 것을 잊지 마십시오. 컴퓨터 위협은 운영 체제와 소프트웨어의 악용을 통해 증가하므로 계속 방치하지 마십시오.