Kazuar

Forskere har oppdaget en bakdørstrojaner kalt Kazuar. Kazuar ble funnet å være knyttet til en spionasjekampanje og ser ut til å være skrevet med Microsoft .NET Framework. Kazuar lar angripere få fullstendig tilgang til et kompromittert system.

Kazuar har flere potensielle funksjoner og kommandoer, inkludert muligheten til å laste inn plugins eksternt. Disse pluginene gir trojaneren større muligheter og gjør den mer til en trussel. Det var også kode i den observerte stammen som antydet at det var Linux- og Mac-versjoner av Kazuar der ute i verden. En ting som skiller seg ut med Kazuar er at det fungerer gjennom et applikasjonsprogrammeringsgrensesnitt (API) koblet til en webserver, og det kan være det første – og eneste – viruset som virker på en slik måte.

Hvem står bak Kazuar?

Forskere mener at Kazuar er knyttet til Turla , en APT-gruppe (Advanced Persistent Threat), også kjent for å operere under navnene Snake og Uroburos . Turla er kjent for sine avanserte evner og for å være en langvarig russisk-basert cybertrusselgruppe med påståtte bånd til den russiske føderale sikkerhetstjenesten (FSB). Gruppen retter seg mot ambassader, utdanningsinstitusjoner, forsvarsentreprenører og forskningsorganisasjoner med sine angrep. Turla har noe av en signatur i koden deres som identifiserer verktøy som deres, og koden som ble brukt for Kazuar kan spores tilbake til 2005, i det minste.

Turla har brukt en rekke verktøy i sin tid, hvorav de fleste er utplassert i andre fasen av angrep i kompromitterte miljøer. Kazuar kan være en ny måte Turla-gruppen håndterer operasjoner på.

Hva gjør Kazuar?

Kazuar er en bakdørstrojaner, som er en av de største kategoriene av digitale trusler. Bakdørstrojanere kan være dyre og omfattende programmer med en rekke funksjoner, eller de kan være enkle programmer som ikke gjør annet enn å pinge en server. Spesielt Kazuar, oppkalt etter kasuarfuglen i Sørøst-Asia, er mer en tradisjonell bakdørstrojaner. Selv om Kazuar er relativt grunnleggende, har den noen skjulte funksjoner som gjør den mer trussel enn typiske bakdørstrojanere som PowerStallion eller Neuron .

Kazuar forsøker å unngå å bli oppdaget når Turla-hackere samler etterretning fra målene sine. Selv om Kazuar er en .NET Framework-applikasjon, har den også funksjoner som gjør den kompatibel med Mac- og Unix/Linux-systemer. Foreløpig er det imidlertid kun Windows-varianter som er oppdaget i naturen.

Ta en titt på koden for Kazuar, og du vil se hvor mye arbeid som ble lagt ned i dette viruset. Kazuar har en forbedret oppsettrutine og er i stand til å tilpasse seg sårbare datamaskiner ved å etablere utholdenhet gjennom en rekke metoder. Viruset lager DLL-er og utnytter Windows-tjenester og .NET Framework-funksjoner for å holde seg på en datamaskin. Når viruset er oppe og kjører, vil det gi angriperen informasjon om måldatamaskinen og la dem ta kontroll. Angripere kan laste opp filer, ta skjermbilder, aktivere webkameraer, kopiere data, starte kjørbare filer og utføre andre oppgaver gjennom valgfrie moduler.

Det er verdt å merke seg API-funksjonen. Virus som dette kobler seg primært til Command and Control-servere (C2-servere) og venter på instruksjoner. Kazuar skiller seg ut fordi den kan lage en alltid lyttende webserver som hjelper viruset med å unngå brannmurer og oppdagelser mot skadelig programvare.

Hvordan infiserer Kazuar datamaskiner?

Kazuar malware infiserer datamaskiner gjennom flere forskjellige metoder. De vanligste er ondsinnede programvarepakker, e-postspam, nettverksdeling, ondsinnede koblinger og tilgang til infiserte flash-stasjoner. Kazuar vil garantert forårsake en enorm mengde skade når den kommer på datamaskinen din.

Ofre har rapportert å måtte håndtere harddiskfeil, hyppige krasj, ødelagte applikasjoner og mer. Det vil ikke si noe om den faktiske skaden det kan gjøre i form av økonomisk tap eller identitetstyveri. Du bør ta skritt for å beskytte deg mot Kazuar og fjerne enhver infeksjon så snart du kan.

Ved infisering av en målrettet enhet, ville Kazuar-skadevaren samle litt informasjon om programvaren og maskinvaren til den infiserte verten. Videre ville Kazuar-trusselen generere en unik mutex basert på serie-IDen til harddisken og den aktive brukerens brukernavn. Dette trinnet i angrepet tjener til å oppdage om det er to varianter av Kazuar-malware som kjører på den infiserte datamaskinen. Når dette er fullført, vil Kazuar malware fortsette med angrepet ved å få utholdenhet på verten. Dette oppnås ved å endre systemets Windows-register. Deretter vil Kazuar-malwaren koble seg til C&C-serveren (Command & Control) til operatørene og vente på å bli gitt kommandoer fra dem. Blant hovedtrekkene til Kazuar malware er:

• Ta skjermbilder av brukerens aktive vinduer og skrivebord.
• Laster ned filer.
• Laster opp filer.
• Ta opp opptak via systemets kamera.
• Administrere løpende prosesser.
• Utføre fjernkommandoer.
• Liste og administrere aktive plugins for trusselen.

Denne lange listen over funksjoner gjør at Kazuar malware kan forårsake betydelig skade på ethvert system den klarer å infiltrere. Siden det er sannsynlig at skaperne av Kazuar-trusselen jobber med en OSX-kompatibel iterasjon av denne skadevare, vil enda flere brukere være i faresonen. For å beskytte systemet ditt mot skadedyr som Kazuar-trusselen, sørg for å laste ned og installere en ekte anti-malware-programvarepakke som vil ta vare på cybersikkerheten din og holde dataene dine trygge.

Turla distribuerer ny Kazuar-variant mot mål i Ukraina

Siden den første oppdagelsen i 2017 har Kazuar dukket opp sporadisk i naturen, og først og fremst påvirket organisasjoner innen europeiske regjerings- og militærsfærer. Dens forbindelse til Sunburst- bakdøren, bevist av kodelikheter, understreker dens sofistikerte natur. Selv om ingen nye Kazuar-prøver har dukket opp siden slutten av 2020, antydet rapporter pågående utviklingsinnsats i skyggen.

Analyse av den oppdaterte Kazuar-koden fremhever en samlet innsats fra skaperne for å forbedre stealth-funksjonene, unngå deteksjonsmekanismer og hindre analysearbeid. Dette oppnås gjennom en rekke avanserte antianalysemetoder kombinert med robuste kryptering og tilsløringsteknikker for å sikre integriteten til skadevarekoden.

Kjernefunksjonaliteten til den nye Kazuar Malware-varianten

På typisk Turla-vis bruker Kazuar en strategi for å bruke kaprede legitime nettsteder for sin Command and Control (C2)-infrastruktur, og unngår dermed fjerninger. I tillegg letter Kazuar kommunikasjon over navngitte rør, ved å bruke begge metodene for å motta eksterne kommandoer eller oppgaver.

Kazuar kan skryte av støtte for 45 forskjellige oppgaver innenfor sitt C2-rammeverk, som representerer et betydelig fremskritt i funksjonaliteten sammenlignet med tidligere versjoner. Tidligere forskning hadde ikke dokumentert noen av disse oppgavene. Derimot støttet den første varianten av Kazuar analysert i 2017 bare 26 C2-kommandoer.

Kazuars liste over anerkjente kommandoer spenner over forskjellige kategorier, inkludert:

• Vertsdatainnsamling
• Utvidet rettsmedisinsk datainnsamling
• Filmanipulering
• Utførelse av vilkårlige kommandoer
• Samhandle med Kazuars konfigurasjonsinnstillinger

Datatyveri er fortsatt blant toppprioriteringene for Turla

Kazuar har evnen til å hente inn legitimasjon fra forskjellige artefakter i den kompromitterte datamaskinen, utløst av kommandoer som "stjele" eller "uovervåket" mottatt fra Command-and-Control (C2)-serveren. Disse artefaktene omfatter en rekke kjente skyapplikasjoner.

Videre kan Kazuar målrette mot sensitive filer som inneholder legitimasjon knyttet til disse applikasjonene. Blant de målrettede artefaktene er Git SCM (et populært kildekontrollsystem blant utviklere) og Signal (en kryptert meldingsplattform for privat kommunikasjon).

Etter å ha opprettet en unik løsertråd, starter Kazuar automatisk en omfattende systemprofileringsoppgave, kalt 'first_systeminfo_do' av skaperne. Denne oppgaven innebærer en grundig innsamling og profilering av det målrettede systemet. Kazuar samler inn omfattende informasjon om den infiserte maskinen, inkludert detaljer om operativsystemet, maskinvarespesifikasjoner og nettverkskonfigurasjon.

Dataene som samles inn lagres i en 'info.txt'-fil, mens utførelseslogger lagres i en 'logs.txt'-fil. I tillegg, som en del av denne oppgaven, tar skadelig programvare et skjermbilde av brukerens skjerm. Alle innsamlede filer blir deretter samlet i ett enkelt arkiv, kryptert og sendt til C2.

Kazuar etablerer flere automatiserte oppgaver på de infiserte enhetene

Kazuar har evnen til å etablere automatiserte prosedyrer som kjøres med forhåndsdefinerte intervaller med det formål å hente data fra kompromitterte systemer. Disse automatiserte oppgavene omfatter en rekke funksjoner, inkludert innsamling av omfattende systeminformasjon som beskrevet i avsnittet om omfattende systemprofilering, ta skjermbilder, trekke ut legitimasjon, hente rettsmedisinske data, innhente automatiske data, hente filer fra utpekte mapper, kompilere en liste over LNK-filer og tyveri av e-poster gjennom bruk av MAPI.

Disse funksjonene gjør det mulig for Kazuar å utføre systematisk overvåking og datautvinning fra infiserte maskiner, og gir ondsinnede aktører en mengde sensitiv informasjon. Ved å utnytte disse automatiserte oppgavene, effektiviserer Kazuar prosessen med rekognosering og dataeksfiltrering, og forbedrer effektiviteten som et verktøy for nettspionasje og ondsinnet aktivitet.

Den oppdaterte Kazuar-malwaren er utstyrt med omfattende anti-analysefunksjoner

Kazuar bruker en rekke sofistikerte antianalyseteknikker som er omhyggelig utformet for å unngå oppdagelse og gransking. Kazuar er programmert av skaperne og justerer oppførselen dynamisk basert på tilstedeværelsen av analyseaktiviteter. Når den fastslår at ingen analyse er i gang, fortsetter Kazuar med sine operasjoner. Men hvis den oppdager noen indikasjon på feilsøking eller analyse, går den umiddelbart inn i en inaktiv tilstand, og stopper all kommunikasjon med kommando- og kontrollserveren (C2).

Anti-dumping

Gitt at Kazuar opererer som en injisert komponent i en annen prosess i stedet for som en autonom enhet, er det utsikter til å trekke ut koden fra vertsprosessens minne. For å motvirke dette sikkerhetsproblemet, bruker Kazuar dyktig en robust funksjon i .NET, System.Reflection Namespace. Denne evnen gir Kazuar fleksibiliteten til å hente metadata knyttet til sammenstillingen, dynamiske metoder og andre kritiske elementer i sanntid, og styrker forsvaret mot potensielle forsøk på kodeutvinning.

I tillegg implementerer Kazuar et defensivt tiltak ved å granske om antidump_methods-innstillingen er aktivert. I slike tilfeller overstyrer den pekere til skreddersydde metoder mens den ser bort fra generiske .NET-metoder, og sletter dem effektivt fra minnet. Som det fremgår av Kazuars loggede melding, tjener denne proaktive tilnærmingen til å hindre forskere i å trekke ut en intakt versjon av skadelig programvare, og dermed øke motstandskraften mot analyser og deteksjon.

Honeypot Sjekk

Blant de første oppgavene, skanner Kazuar flittig etter tegn på honeypot-artefakter på målmaskinen. For å oppnå dette refererer den til en forhåndsdefinert liste over prosessnavn og filnavn, ved å bruke en hardkodet tilnærming. Skulle Kazuar støte på mer enn fem forekomster av disse spesifiserte filene eller prosessene, registrerer den umiddelbart oppdagelsen som en indikasjon på en honeypot-tilstedeværelse.

Analyseverktøy Sjekk

Kazuar opprettholder en liste over forhåndsdefinerte navn som representerer forskjellige mye brukte analyseverktøy. Den vurderer systematisk vaktlisten opp mot de aktive prosessene på systemet. Etter å ha oppdaget driften av noen av disse verktøyene, registrerer Kazuar umiddelbart funnet, noe som indikerer tilstedeværelsen av analyseverktøy.

Sandkassesjekk

Kazuar har et sett med forhåndsbestemte sandkassebiblioteker hardkodet inn i systemet sitt. Den utfører skanninger for å identifisere spesifikke DLL-er knyttet til ulike sandkassetjenester. Etter å ha møtt disse filene, konkluderer Kazuar med at den kjører i et laboratoriemiljø, noe som ber den om å avslutte driften.

Event Log Monitor

Kazuar samler og tolker systematisk hendelser registrert i Windows-hendelsesloggene. Den retter seg spesifikt mot hendelser som stammer fra et utvalg anti-malware- og sikkerhetsleverandører. Dette bevisste fokuset er i tråd med strategien for overvåking av aktiviteter knyttet til mye brukte sikkerhetsprodukter under den sannsynlige antagelsen om at disse verktøyene er utbredt blant potensielle mål.

Kazuar Malware fortsetter å representere en stor trussel i det digitale rom

Den siste varianten av Kazuar malware, nylig identifisert i naturen, viser flere bemerkelsesverdige egenskaper. Den inkorporerer robuste kode- og strengobfuskeringsteknikker sammen med en flertrådsmodell for forbedret ytelse. Videre er en rekke krypteringsskjemaer implementert for å beskytte Kazuars kode fra analyse og for å skjule dataene, enten i minnet, under overføring eller på disk. Disse funksjonene har samlet som mål å gi Kazuar-bakdøren et økt nivå av stealth.

I tillegg viser denne iterasjonen av skadelig programvare sofistikerte antianalysefunksjoner og omfattende systemprofileringsmuligheter. Dens spesifikke målretting mot skyapplikasjoner er bemerkelsesverdig. Dessuten har denne versjonen av Kazuar støtte for et omfattende utvalg av over 40 forskjellige kommandoer, hvorav halvparten tidligere er udokumentert av cybersikkerhetsforskere.

Hvordan beskytte mot Kazuar

Som med enhver form for trussel, er det viktigste du kan gjøre for å beskytte datamaskinen din å unngå å åpne e-postvedlegg og lenker. Ikke samhandle med e-posten hvis du ikke vet hvor den kommer fra. Sørg også for å sikkerhetskopiere de viktigste dataene dine regelmessig. Det hjelper å ha flere sikkerhetskopier også, ettersom jo flere sikkerhetskopier du har, desto større er sjansene dine for å få ting tilbake til det normale i tilfelle Kazuar eller annen skadelig programvare.

Sist, men ikke minst, vil du sørge for at alle programmene og applikasjonene dine er oppdatert. Ikke glem å oppdatere operativsystemet ditt for regelmessig. Datatrusler trives gjennom utnyttelser i operativsystemer og programvare, så ikke la dem somle.