Kazuar
Onderzoekers hebben een achterdeurtrojan ontdekt genaamd Kazuar. Kazuar bleek verband te houden met een spionagecampagne en lijkt geschreven te zijn met het Microsoft .NET Framework. Met Kazuar kunnen aanvallers volledige toegang krijgen tot een gecompromitteerd systeem.
Kazuar heeft verschillende potentiële functies en opdrachten, waaronder de mogelijkheid om plug-ins op afstand te laden. Deze plug-ins geven het Trojaanse paard grotere mogelijkheden en maken het een grotere bedreiging. Er zat ook code in de waargenomen soort die suggereerde dat er Linux- en Mac-versies van Kazuar in de wereld bestonden. Eén ding dat opvalt aan Kazuar is dat het werkt via een Application Programming Interface (API) die is verbonden met een webserver, en het kan het eerste – en enige – virus zijn dat op een dergelijke manier handelt.
Inhoudsopgave
Wie zit er achter Kazuar?
Onderzoekers geloven dat Kazuar verbonden is met Turla , een APT-groep (Advanced Persistent Threat), ook bekend onder de namen Snake en Uroburos . Turla staat bekend om zijn geavanceerde capaciteiten en is een al lang bestaande in Rusland gevestigde cyberdreigingsgroep met vermeende banden met de Russische Federale Veiligheidsdienst (FSB). De groep richt zich met hun aanvallen op ambassades, onderwijsinstellingen, defensieaannemers en onderzoeksorganisaties. Turla heeft iets van een handtekening in hun code die tools identificeert als die van hen, en de code die voor Kazuar wordt gebruikt, is op zijn minst terug te voeren tot 2005.
Turla heeft in zijn tijd een aantal tools gebruikt, waarvan de meeste worden ingezet in de tweede fase van aanvallen in gecompromitteerde omgevingen. Kazuar zou een nieuwe manier kunnen zijn waarop de Turla-groep haar activiteiten uitvoert.
Wat doet Kazuar?
Kazuar is een achterdeurtrojan, een van de grootste categorieën digitale bedreigingen. Backdoor Trojans kunnen dure en uitgebreide programma's zijn met een scala aan mogelijkheden, maar het kunnen ook eenvoudige programma's zijn die niets anders doen dan een server pingen. Vooral Kazuar, genoemd naar de kasuarisvogel uit Zuidoost-Azië, is meer een traditionele achterdeur-Trojan. Hoewel Kazuar relatief eenvoudig is, heeft het enkele verborgen kenmerken die het een grotere bedreiging maken dan typische achterdeur-trojans zoals PowerStallion of Neuron .
Kazuar probeert te voorkomen dat hij wordt opgemerkt terwijl Turla-hackers informatie over hun doelen verzamelen. Hoewel Kazuar een .NET Framework-applicatie is, beschikt het ook over functies die het compatibel maken met Mac- en Unix/Linux-systemen. Tot nu toe zijn er echter alleen Windows-varianten in het wild gesignaleerd.
Kijk eens naar de code voor Kazuar en je zult zien hoeveel werk er in dit virus is gestoken. Kazuar heeft een verbeterde installatieroutine en kan zich aanpassen aan kwetsbare computers door op een aantal manieren persistentie tot stand te brengen. Het virus maakt DLL's aan en exploiteert Windows-services en .NET Framework-functies om op een computer te blijven. Zodra het virus actief is, geeft het de aanvaller informatie over de doelcomputer en kan deze de controle overnemen. Aanvallers kunnen bestanden uploaden, schermafbeeldingen maken, webcams activeren, gegevens kopiëren, uitvoerbare bestanden starten en andere taken uitvoeren via optionele modules.
Het is de moeite waard om kennis te nemen van de API-functie. Dergelijke virussen maken voornamelijk verbinding met Command and Control-servers (C2-servers) en wachten op instructies. Kazuar valt op omdat het een altijd luisterende webserver kan creëren die het virus helpt firewalls en antimalwaredetecties te vermijden.
Hoe infecteert Kazuar computers?
De Kazuar-malware infecteert computers op verschillende manieren. De meest voorkomende zijn kwaadaardige softwarebundels, e-mailspam, het delen van netwerken, kwaadaardige links en toegang tot geïnfecteerde flashdrives. Kazuar zal zeker een enorme hoeveelheid schade aanrichten zodra het op uw computer terechtkomt.
Slachtoffers hebben gemeld dat ze te maken kregen met defecten aan de harde schijf, frequente crashes, beschadigde applicaties en meer. Dat wil zeggen niets van de daadwerkelijke schade die het zou kunnen aanrichten in termen van financieel verlies of identiteitsdiefstal. U moet stappen ondernemen om uzelf tegen Kazuar te beschermen en eventuele infecties zo snel mogelijk te verwijderen.
Bij het infecteren van een gericht apparaat verzamelde de Kazuar-malware informatie over de software en hardware van de geïnfecteerde host. Bovendien zou de Kazuar-dreiging een unieke mutex genereren op basis van de seriële ID van de harde schijf en de gebruikersnaam van de actieve gebruiker. Deze stap van de aanval dient om te detecteren of er twee varianten van de Kazuar-malware op de geïnfecteerde computer draaien. Zodra dit is voltooid, zal de Kazuar-malware doorgaan met de aanval door persistentie op de host te verkrijgen. Dit wordt bereikt door het Windows-register van het systeem te wijzigen. Vervolgens maakte de Kazuar-malware verbinding met de C&C-server (Command & Control) van zijn operators en wachtte tot hij opdrachten van hen kreeg. Een van de belangrijkste kenmerken van de Kazuar-malware is:
- Schermafbeeldingen maken van de actieve vensters en het bureaublad van de gebruiker.
- Bestanden downloaden.
- Bestanden uploaden.
- Beelden opnemen via de camera van het systeem.
- Het beheren van lopende processen.
- Het uitvoeren van opdrachten op afstand.
- Lijst met en beheer van actieve plug-ins van de dreiging.
Dankzij deze lange lijst met mogelijkheden kan de Kazuar-malware aanzienlijke schade aanrichten aan elk systeem dat het weet te infiltreren. Omdat het waarschijnlijk is dat de makers van de Kazuar-dreiging werken aan een OSX-compatibele versie van deze malware, lopen nog meer gebruikers gevaar. Om uw systeem te beschermen tegen ongedierte zoals de Kazuar-dreiging, moet u ervoor zorgen dat u een authentiek anti-malwaresoftwarepakket downloadt en installeert dat voor uw cyberbeveiliging zorgt en uw gegevens veilig houdt.
Turla implementeert nieuwe Kazuar-variant tegen doelen in Oekraïne
Sinds de eerste detectie in 2017 is Kazuar sporadisch in het wild opgedoken, waarbij vooral organisaties binnen de Europese regerings- en militaire sfeer werden getroffen. De connectie met de Sunburst- achterdeur, blijkt uit overeenkomsten in de code, onderstreept het verfijnde karakter ervan. Hoewel er sinds eind 2020 geen nieuwe Kazuar-monsters zijn opgedoken, duiden rapporten op voortdurende ontwikkelingsinspanningen in de schaduw.
Analyse van de bijgewerkte Kazuar-code benadrukt een gezamenlijke inspanning van de makers ervan om de stealth-mogelijkheden te verbeteren, detectiemechanismen te omzeilen en analyse-inspanningen te dwarsbomen. Dit wordt bereikt door een reeks geavanceerde anti-analysemethoden in combinatie met robuuste encryptie- en verduisteringstechnieken om de integriteit van de malwarecode te waarborgen.
De kernfunctionaliteit van de nieuwe Kazuar-malwarevariant
Op typische Turla-manier hanteert Kazuar een strategie waarbij gekaapte legitieme websites worden gebruikt voor zijn Command and Control (C2)-infrastructuur, waardoor verwijderingen worden omzeild. Bovendien vergemakkelijkt Kazuar de communicatie via Named Pipes, waarbij beide methoden worden gebruikt om opdrachten of taken op afstand te ontvangen.
Kazuar biedt ondersteuning voor 45 verschillende taken binnen zijn C2-framework, wat een opmerkelijke vooruitgang in zijn functionaliteit betekent vergeleken met eerdere versies. Eerder onderzoek had sommige van deze taken niet gedocumenteerd. Daarentegen ondersteunde de initiële variant van Kazuar die in 2017 werd geanalyseerd slechts 26 C2-opdrachten.
Kazuar's lijst met erkende commando's omvat verschillende categorieën, waaronder:
- Hostgegevensverzameling
- Uitgebreide forensische gegevensverzameling
- Bestandsmanipulatie
- Uitvoering van willekeurige commando's
- Interactie met de configuratie-instellingen van Kazuar
Gegevensdiefstal blijft een van de topprioriteiten voor Turla
Kazuar beschikt over de mogelijkheid om inloggegevens te verzamelen van verschillende artefacten op de aangetaste computer, geactiveerd door opdrachten zoals 'stelen' of 'onbeheerd' ontvangen van de Command-and-Control (C2)-server. Deze artefacten omvatten talloze bekende cloudapplicaties.
Bovendien kan Kazuar gevoelige bestanden targeten die inloggegevens bevatten die aan deze applicaties zijn gekoppeld. Tot de beoogde artefacten behoren Git SCM (een populair broncontrolesysteem onder ontwikkelaars) en Signal (een gecodeerd berichtenplatform voor privécommunicatie).
Na het uitbrengen van een unieke oplosserthread, initieert Kazuar automatisch een uitgebreide systeemprofileringstaak, door de makers 'first_systeminfo_do' genoemd. Deze taak omvat het grondig verzamelen en profileren van het beoogde systeem. Kazuar verzamelt uitgebreide informatie over de geïnfecteerde machine, inclusief details over het besturingssysteem, hardwarespecificaties en netwerkconfiguratie.
De verzamelde gegevens worden opgeslagen in een 'info.txt'-bestand, terwijl uitvoeringslogboeken worden opgeslagen in een 'logs.txt'-bestand. Als onderdeel van deze taak maakt de malware bovendien een screenshot van het scherm van de gebruiker. Alle verzamelde bestanden worden vervolgens gebundeld in één archief, gecodeerd en naar de C2 verzonden.
Kazuar voert meerdere geautomatiseerde taken uit op de geïnfecteerde apparaten
Kazuar beschikt over de mogelijkheid om geautomatiseerde procedures op te zetten die met vooraf gedefinieerde intervallen worden uitgevoerd met als doel gegevens uit gecompromitteerde systemen op te halen. Deze geautomatiseerde taken omvatten een reeks functies, waaronder het verzamelen van uitgebreide systeeminformatie zoals beschreven in de sectie over uitgebreide systeemprofilering, het maken van schermafbeeldingen, het extraheren van inloggegevens, het ophalen van forensische gegevens, het verkrijgen van autorunsgegevens, het verkrijgen van bestanden uit aangewezen mappen, het samenstellen van een lijst met LNK-bestanden en het stelen van e-mails via het gebruik van MAPI.
Deze functionaliteiten stellen Kazuar in staat systematische surveillance en data-extractie uit te voeren van geïnfecteerde machines, waardoor kwaadwillende actoren kunnen beschikken over een overvloed aan gevoelige informatie. Door gebruik te maken van deze geautomatiseerde taken stroomlijnt Kazuar het proces van verkenning en data-exfiltratie, waardoor de effectiviteit ervan als instrument voor cyberspionage en kwaadaardige activiteiten wordt vergroot.
De bijgewerkte Kazuar-malware is uitgerust met uitgebreide anti-analysemogelijkheden
Kazuar maakt gebruik van een verscheidenheid aan geavanceerde anti-analysetechnieken die zorgvuldig zijn ontworpen om detectie en controle te omzeilen. Kazuar is geprogrammeerd door de makers en past zijn gedrag dynamisch aan op basis van de aanwezigheid van analyseactiviteiten. Wanneer Kazuar vaststelt dat er geen analyse plaatsvindt, gaat hij verder met zijn werkzaamheden. Als het echter enige indicatie van debuggen of analyse detecteert, komt het onmiddellijk in een inactieve toestand terecht, waardoor alle communicatie met de Command and Control (C2)-server wordt stopgezet.
Anti-dumping
Gegeven het feit dat Kazuar opereert als een geïnjecteerde component binnen een ander proces en niet als een autonome entiteit, doemt het vooruitzicht op om de code uit het geheugen van het hostproces te halen. Om deze kwetsbaarheid tegen te gaan, maakt Kazuar bedreven gebruik van een robuuste functie binnen .NET, de System.Reflection Namespace. Deze mogelijkheid geeft Kazuar de flexibiliteit om metadata met betrekking tot de assemblage, dynamische methoden en andere kritische elementen in realtime op te halen, waardoor de verdediging tegen mogelijke pogingen tot code-extractie wordt versterkt.
Bovendien implementeert Kazuar een defensieve maatregel door nauwkeurig te onderzoeken of de instelling antidump_methods is ingeschakeld. In dergelijke gevallen negeert het verwijzingen naar de op maat gemaakte methoden, terwijl generieke .NET-methoden worden genegeerd, waardoor deze effectief uit het geheugen worden gewist. Zoals blijkt uit het geregistreerde bericht van Kazuar, zorgt deze proactieve aanpak ervoor dat onderzoekers ervan worden weerhouden een intacte versie van de malware te extraheren, waardoor de weerbaarheid ervan tegen analyse en detectie wordt vergroot.
Honingpotcontrole
Een van de eerste taken is dat Kazuar ijverig scant op tekenen van honeypot-artefacten op de doelmachine. Om dit te bereiken, verwijst het naar een vooraf gedefinieerde lijst met procesnamen en bestandsnamen, waarbij gebruik wordt gemaakt van een hardgecodeerde aanpak. Mocht Kazuar meer dan vijf exemplaren van deze gespecificeerde bestanden of processen tegenkomen, dan wordt de ontdekking onmiddellijk geregistreerd als indicatief voor de aanwezigheid van een honeypot.
Analysehulpmiddelen controleren
Kazuar houdt een lijst bij met vooraf gedefinieerde namen die verschillende veelgebruikte analysehulpmiddelen vertegenwoordigen. Het vergelijkt systematisch het rooster met de actieve processen op het systeem. Wanneer Kazuar de werking van een van deze tools detecteert, registreert hij onmiddellijk de bevinding, wat de aanwezigheid van analysetools aangeeft.
Sandbox-controle
Kazuar beschikt over een reeks vooraf bepaalde sandbox-bibliotheken die hard in zijn systeem zijn gecodeerd. Het voert scans uit om specifieke DLL's te identificeren die zijn gekoppeld aan verschillende sandbox-services. Bij het tegenkomen van deze bestanden concludeert Kazuar dat het in een laboratoriumomgeving draait, wat hem ertoe aanzet zijn activiteiten te staken.
Gebeurtenislogboekmonitor
Kazuar verzamelt en interpreteert systematisch gebeurtenissen die zijn vastgelegd in de Windows-gebeurtenislogboeken. Het richt zich specifiek op gebeurtenissen die afkomstig zijn van een selectie van anti-malware- en beveiligingsleveranciers. Deze doelbewuste focus sluit aan bij de strategie van het monitoren van activiteiten die verband houden met veelgebruikte beveiligingsproducten, in de plausibele veronderstelling dat deze tools wijd verspreid zijn onder potentiële doelwitten.
De Kazuar-malware blijft een grote bedreiging vormen in de digitale ruimte
De nieuwste variant van de Kazuar-malware, onlangs in het wild geïdentificeerd, vertoont verschillende opmerkelijke kenmerken. Het bevat robuuste code- en tekenreeksverduisteringstechnieken naast een multithreaded model voor verbeterde prestaties. Bovendien wordt een reeks versleutelingsschema's geïmplementeerd om de code van Kazuar te beschermen tegen analyse en om de gegevens ervan te verbergen, zowel in het geheugen, tijdens verzending als op schijf. Deze functies zijn er gezamenlijk op gericht om de Kazuar-achterdeur een hoger niveau van stealth te geven.
Bovendien vertoont deze versie van de malware geavanceerde anti-analysefunctionaliteiten en uitgebreide mogelijkheden voor systeemprofilering. Opvallend is de specifieke targeting op cloudapplicaties. Bovendien biedt deze versie van Kazuar ondersteuning voor een uitgebreide reeks van meer dan 40 verschillende commando's, waarvan de helft voorheen niet gedocumenteerd was door cybersecurity-onderzoekers.
Hoe te beschermen tegen Kazuar
Zoals bij elke vorm van bedreiging is het belangrijkste dat u kunt doen om uw computer te beschermen het openen van e-mailbijlagen en links. Ga niet in op de e-mail als u niet weet waar deze vandaan komt. Zorg er ook voor dat u regelmatig een back-up maakt van uw belangrijkste gegevens. Het helpt ook om meerdere back-ups te hebben, want hoe meer back-ups u heeft, hoe groter de kans dat alles weer normaal wordt in het geval van Kazuar of andere malware.
Last but not least wilt u er zeker van zijn dat al uw programma's en applicaties up-to-date zijn. Vergeet niet uw besturingssysteem te regelmatig bij te werken. Computerbedreigingen gedijen door exploits in besturingssystemen en software, dus laat ze niet blijven hangen.
