Multi-License Discount Quote
Baza danych zagrożeń Backdoors Kazuar

Kazuar

Do GoldSparrow w Backdoors
Przetłumacz na:
Polski

Badacze odkryli trojana typu backdoor o nazwie Kazuar. Stwierdzono, że Kazuar jest powiązany z kampanią szpiegowską i prawdopodobnie został napisany w środowisku Microsoft .NET Framework. Kazuar umożliwia atakującym uzyskanie pełnego dostępu do zaatakowanego systemu.

Kazuar ma kilka potencjalnych funkcji i poleceń, w tym możliwość zdalnego ładowania wtyczek. Wtyczki te zapewniają trojanowi większe możliwości i czynią go większym zagrożeniem. W zaobserwowanym szczepie znajdował się również kod sugerujący, że na świecie istnieją wersje Kazuara dla systemów Linux i Mac. Cechą wyróżniającą Kazuara jest to, że działa on poprzez interfejs programowania aplikacji (API) podłączony do serwera WWW i może być pierwszym – i jedynym – wirusem, który działa w taki sposób.

Kto stoi za Kazuarem?

Badacze uważają, że Kazuar jest powiązany z Turla , grupą APT (Advanced Persistent Threat), znaną również z działania pod nazwami Snake i Uroburos . Turla jest znana ze swoich zaawansowanych możliwości i bycia istniejącą od dawna rosyjską grupą zajmującą się cyberzagrożeniami, rzekomo powiązaną z rosyjską Federalną Służbą Bezpieczeństwa (FSB). Grupa atakuje ambasady, instytucje edukacyjne, wykonawców z branży obronnej i organizacje badawcze. Turla ma w swoim kodzie coś w rodzaju podpisu, który identyfikuje narzędzia jako własne, a kod używany w Kazuarze sięga przynajmniej 2005 roku.

Turla stosowała w swoim czasie wiele narzędzi, z których większość jest wdrażana na drugim etapie ataków w zaatakowanych środowiskach. Kazuar może być jednym z nowych sposobów prowadzenia działalności przez grupę Turla.

Co robi Kazuar?

Kazuar to trojan typu backdoor, będący jedną z największych kategorii zagrożeń cyfrowych. Trojany typu backdoor mogą być drogimi i kompleksowymi programami o szeregu możliwości lub mogą być prostymi programami, które nie robią nic innego poza pingowaniem serwera. W szczególności Kazuar, nazwany na cześć ptaka kazuara z Azji Południowo-Wschodniej, jest bardziej tradycyjnym trojanem typu backdoor. Chociaż Kazuar jest stosunkowo prosty, ma pewne ukryte funkcje, które czynią go większym zagrożeniem niż typowe trojany typu backdoor, takie jak PowerStallion czy Neuron .

Kazuar stara się uniknąć wykrycia, gdy hakerzy z Turli zbierają informacje od swoich celów. Mimo że Kazuar jest aplikacją .NET Framework, posiada również funkcje, które czynią ją kompatybilną z systemami Mac i Unix/Linux. Jak dotąd jednak na wolności zauważono jedynie warianty systemu Windows.

Spójrz na kod Kazuara, a zobaczysz, ile pracy włożono w tego wirusa. Kazuar ma ulepszoną procedurę konfiguracji i jest w stanie dostosować się do podatnych na ataki komputerów, ustanawiając trwałość za pomocą wielu metod. Wirus tworzy biblioteki DLL i wykorzystuje usługi Windows oraz funkcje .NET Framework, aby pozostać na komputerze. Po uruchomieniu wirusa przekaże atakującemu informacje o komputerze docelowym i umożliwi mu przejęcie kontroli. Osoby atakujące mogą przesyłać pliki, robić zrzuty ekranu, aktywować kamery internetowe, kopiować dane, uruchamiać pliki wykonywalne i wykonywać inne zadania za pomocą opcjonalnych modułów.

Warto zwrócić uwagę na funkcję API. Tego typu wirusy łączą się głównie z serwerami dowodzenia i kontroli (serwerami C2) i czekają na instrukcje. Kazuar wyróżnia się tym, że potrafi stworzyć zawsze nasłuchujący serwer WWW, który pomaga wirusowi unikać zapór sieciowych i wykrycia złośliwego oprogramowania.

W jaki sposób Kazuar infekuje komputery?

Szkodnik Kazuar infekuje komputery kilkoma różnymi metodami. Najczęstsze to pakiety złośliwego oprogramowania, spam e-mailowy, udostępnianie sieci, złośliwe linki i uzyskiwanie dostępu do zainfekowanych dysków flash. Kazuar z pewnością spowoduje ogromne szkody, gdy tylko dostanie się na twój komputer.

Ofiary zgłaszały, że musiały radzić sobie z awarią dysku twardego, częstymi awariami, uszkodzonymi aplikacjami i nie tylko. Nie mówiąc już o rzeczywistych szkodach, jakie może wyrządzić w postaci strat finansowych lub kradzieży tożsamości. Należy podjąć kroki w celu ochrony przed Kazuarem i jak najszybciej usunąć infekcję.

Po zainfekowaniu docelowego urządzenia szkodliwe oprogramowanie Kazuar zbiera pewne informacje dotyczące oprogramowania i sprzętu zainfekowanego hosta. Co więcej, zagrożenie Kazuar wygeneruje unikalny muteks na podstawie identyfikatora seryjnego dysku twardego i nazwy użytkownika aktywnego użytkownika. Ten etap ataku ma na celu wykrycie, czy na zainfekowanym komputerze działają dwa warianty szkodliwego oprogramowania Kazuar. Po zakończeniu tego szkodliwe oprogramowanie Kazuar będzie kontynuować atak, uzyskując trwałość na hoście. Osiąga się to poprzez modyfikację rejestru systemu Windows. Następnie szkodliwe oprogramowanie Kazuar łączyłoby się z serwerem C&C (Command & Control) swoich operatorów i czekało na wydanie przez nich poleceń. Do głównych cech szkodliwego oprogramowania Kazuar należą:

  • Wykonywanie zrzutów ekranu aktywnych okien i pulpitu użytkownika.
  • Pobieranie plików.
  • Przesyłanie plików.
  • Nagrywanie materiału za pomocą kamery systemu.
  • Zarządzanie działającymi procesami.
  • Wykonywanie zdalnych poleceń.
  • Wyświetlanie i zarządzanie aktywnymi wtyczkami zagrożenia.
  • Aktualizuje siebie i swoją listę serwerów C&C.
  • Samodestrukcyjne.

    • Ta długa lista możliwości pozwala złośliwemu oprogramowaniu Kazuar wyrządzić znaczne szkody w dowolnym systemie, któremu uda się przeniknąć. Ponieważ jest prawdopodobne, że twórcy zagrożenia Kazuar pracują nad wersją tego szkodliwego oprogramowania kompatybilną z systemem OSX, zagrożonych będzie jeszcze więcej użytkowników. Aby chronić swój system przed szkodnikami takimi jak zagrożenie Kazuar, pobierz i zainstaluj oryginalny pakiet oprogramowania chroniącego przed złośliwym oprogramowaniem, który zadba o Twoje cyberbezpieczeństwo i bezpieczeństwo Twoich danych.

    Turla wystrzeliwuje nowy wariant Kazuar przeciwko celom na Ukrainie

    Od czasu pierwszego wykrycia w 2017 r. Kazuar sporadycznie pojawia się na wolności, atakując głównie organizacje w europejskich sferach rządowych i wojskowych. Jego powiązanie z backdoorem Sunburst , potwierdzone podobieństwami w kodzie, podkreśla jego wyrafinowany charakter. Chociaż od końca 2020 r. nie pojawiły się żadne nowe próbki Kazuara, raporty sugerują, że trwają prace rozwojowe w cieniu.

    Analiza zaktualizowanego kodu Kazuar wskazuje na wspólne wysiłki jego twórców mające na celu ulepszenie jego możliwości ukrywania się, unikanie mechanizmów wykrywania i udaremnianie prób analitycznych. Osiąga się to poprzez szereg zaawansowanych metod zapobiegania analizie w połączeniu z solidnymi technikami szyfrowania i zaciemniania, aby chronić integralność kodu złośliwego oprogramowania.

    Podstawowa funkcjonalność nowego wariantu złośliwego oprogramowania Kazuar

    W typowy dla Turli sposób Kazuar stosuje strategię wykorzystywania porwanych legalnych witryn internetowych w swojej infrastrukturze dowodzenia i kontroli (C2), unikając w ten sposób ataków. Dodatkowo Kazuar ułatwia komunikację przez nazwane potoki, wykorzystując obie metody do otrzymywania zdalnych poleceń lub zadań.

    Kazuar może pochwalić się obsługą 45 różnych zadań w ramach C2, co stanowi znaczny postęp w jego funkcjonalności w porównaniu do wcześniejszych wersji. Poprzednie badania nie udokumentowały niektórych z tych zadań. Natomiast analizowany w 2017 roku początkowy wariant Kazuara obsługiwał jedynie 26 poleceń C2.

    Lista rozpoznawanych poleceń Kazuara obejmuje różne kategorie, w tym:

    • Gromadzenie danych hosta
    • Rozszerzone gromadzenie danych kryminalistycznych
    • Manipulacja plikami
    • Wykonywanie dowolnych poleceń
    • Interakcja z ustawieniami konfiguracyjnymi Kazuara
  • Wykonywanie zapytań i manipulowanie rejestrem systemu Windows
  • Wykonywanie skryptów (VBS, PowerShell, JavaScript)
  • Wysyłanie niestandardowych żądań sieciowych
  • Kradzież danych uwierzytelniających i poufnych informacji

    • Kradzież danych pozostaje jednym z najważniejszych priorytetów firmy Turla

    Kazuar posiada zdolność gromadzenia danych uwierzytelniających z różnych artefaktów w zaatakowanym komputerze, wywoływanych poleceniami takimi jak „kradzież” lub „nienadzoruj” otrzymanymi z serwera dowodzenia i kontroli (C2). Artefakty te obejmują wiele dobrze znanych aplikacji w chmurze.

    Co więcej, Kazuar może atakować poufne pliki zawierające dane uwierzytelniające powiązane z tymi aplikacjami. Wśród docelowych artefaktów znajdują się Git SCM (popularny system kontroli źródła wśród programistów) i Signal (platforma zaszyfrowanych wiadomości do komunikacji prywatnej).

    Po utworzeniu unikalnego wątku Solvera Kazuar automatycznie inicjuje obszerne zadanie profilowania systemu, nazwane przez jego twórców „first_systeminfo_do”. Zadanie to polega na dokładnym zebraniu i profilowaniu docelowego systemu. Kazuar zbiera kompleksowe informacje o zainfekowanej maszynie, w tym szczegółowe informacje o systemie operacyjnym, specyfikacjach sprzętu i konfiguracji sieci.

    Zebrane dane zapisywane są w pliku „info.txt”, natomiast logi wykonania zapisywane są w pliku „logs.txt”. Dodatkowo w ramach tego zadania szkodliwe oprogramowanie przechwytuje zrzut ekranu ekranu użytkownika. Wszystkie zebrane pliki są następnie grupowane w jedno archiwum, szyfrowane i wysyłane do C2.

    Kazuar ustanawia wiele zautomatyzowanych zadań na zainfekowanych urządzeniach

    Kazuar posiada możliwość ustanowienia zautomatyzowanych procedur, które działają w określonych odstępach czasu w celu odzyskania danych z zaatakowanych systemów. Te zautomatyzowane zadania obejmują szereg funkcji, w tym gromadzenie kompleksowych informacji o systemie zgodnie z opisem w sekcji Kompleksowe profilowanie systemu, przechwytywanie zrzutów ekranu, wyodrębnianie danych uwierzytelniających, pobieranie danych kryminalistycznych, pozyskiwanie danych uruchamianych automatycznie, uzyskiwanie plików z wyznaczonych folderów, tworzenie listy LNK i kradzieży wiadomości e-mail za pomocą MAPI.

    Funkcjonalności te umożliwiają Kazuarowi prowadzenie systematycznego nadzoru i wydobywania danych z zainfekowanych maszyn, udostępniając złośliwym aktorom mnóstwo poufnych informacji. Wykorzystując te zautomatyzowane zadania, Kazuar usprawnia proces rozpoznania i eksfiltracji danych, zwiększając jego skuteczność jako narzędzia cyberszpiegostwa i złośliwej działalności.

    Zaktualizowane złośliwe oprogramowanie Kazuar jest wyposażone w rozbudowane możliwości antyanalizy

    Kazuar wykorzystuje różnorodne wyrafinowane techniki zapobiegające analizie, skrupulatnie zaprojektowane tak, aby uniknąć wykrycia i kontroli. Zaprogramowany przez twórców Kazuar dynamicznie dostosowuje swoje zachowanie w oparciu o obecność działań analitycznych. Gdy stwierdzi, że nie są prowadzone żadne analizy, Kazuar kontynuuje swoje działania. Jeśli jednak wykryje jakiekolwiek oznaki debugowania lub analizy, natychmiast przechodzi w stan bezczynności, wstrzymując całą komunikację z serwerem dowodzenia i kontroli (C2).

    Antydumping

    Biorąc pod uwagę, że Kazuar działa raczej jako komponent wstrzyknięty w inny proces niż jako autonomiczna jednostka, pojawia się perspektywa wyodrębnienia jego kodu z pamięci procesu hosta. Aby przeciwdziałać tej luce, Kazuar umiejętnie wykorzystuje solidną funkcję platformy .NET, przestrzeń nazw System.Reflection. Ta możliwość zapewnia Kazuarowi elastyczność w pobieraniu w czasie rzeczywistym metadanych dotyczących jego montażu, metod dynamicznych i innych krytycznych elementów, wzmacniając jego obronę przed potencjalnymi próbami ekstrakcji kodu.

    Dodatkowo Kazuar wdraża środek obronny, sprawdzając, czy ustawienie antidump_methods jest włączone. W takich przypadkach zastępuje wskaźniki do własnych metod, ignorując ogólne metody .NET, skutecznie usuwając je z pamięci. Jak wynika z zarejestrowanej wiadomości Kazuara, to proaktywne podejście utrudnia badaczom wyodrębnienie nienaruszonej wersji szkodliwego oprogramowania, zwiększając w ten sposób jego odporność na analizę i wykrywanie.

    Kontrola Honeypot

    Wśród swoich początkowych zadań Kazuar skrupulatnie skanuje maszynę docelową w poszukiwaniu jakichkolwiek śladów artefaktów typu Honeypot. Aby to osiągnąć, odwołuje się do predefiniowanej listy nazw procesów i plików, stosując podejście zakodowane na stałe. Jeśli Kazuar napotka więcej niż pięć wystąpień tych określonych plików lub procesów, natychmiast zarejestruje to odkrycie jako wskazujące na obecność Honeypota.

    Kontrola narzędzi analitycznych

    Kazuar utrzymuje listę predefiniowanych nazw reprezentujących różne powszechnie używane narzędzia analityczne. Systematycznie przegląda listę pod kątem aktywnych procesów w systemie. Po wykryciu działania któregokolwiek z tych narzędzi Kazuar natychmiast rejestruje to odkrycie, wskazując obecność narzędzi analitycznych.

    Kontrola piaskownicy

    Kazuar posiada zestaw z góry określonych bibliotek piaskownicy zakodowanych na stałe w swoim systemie. Przeprowadza skanowanie w celu zidentyfikowania określonych bibliotek DLL powiązanych z różnymi usługami piaskownicy. Po napotkaniu tych plików Kazuar dochodzi do wniosku, że działa w środowisku laboratoryjnym, co skłania go do zaprzestania działalności.

    Monitor dziennika zdarzeń

    Kazuar na bieżąco gromadzi i interpretuje zdarzenia zapisane w dziennikach zdarzeń systemu Windows. Jego celem są w szczególności zdarzenia pochodzące od wybranych dostawców oprogramowania chroniącego przed złośliwym oprogramowaniem i zabezpieczeniami. To celowe skupienie się jest zgodne ze strategią monitorowania działań związanych z szeroko stosowanymi produktami zabezpieczającymi, przy wiarygodnym założeniu, że narzędzia te są powszechne wśród potencjalnych celów.

    Szkodliwe oprogramowanie Kazuar w dalszym ciągu stanowi główne zagrożenie w przestrzeni cyfrowej

    Najnowszy wariant szkodliwego oprogramowania Kazuar, niedawno zidentyfikowany na wolności, wykazuje kilka godnych uwagi cech. Zawiera niezawodne techniki zaciemniania kodu i ciągów znaków oraz model wielowątkowy w celu zwiększenia wydajności. Ponadto zaimplementowano szereg schematów szyfrowania, aby zabezpieczyć kod Kazuara przed analizą i ukryć jego dane zarówno w pamięci, podczas transmisji, jak i na dysku. Wspólnym celem tych funkcji jest wyposażenie backdoora Kazuar w wyższy poziom ukrywania się.

    Ponadto ta wersja szkodliwego oprogramowania posiada zaawansowane funkcje zapobiegające analizie i rozbudowane możliwości profilowania systemu. Na uwagę zasługuje jego specyficzne ukierunkowanie na aplikacje w chmurze. Co więcej, ta wersja Kazuara obsługuje szeroką gamę ponad 40 różnych poleceń, z których połowa nie była wcześniej udokumentowana przez badaczy cyberbezpieczeństwa.

    Jak chronić się przed Kazuarem

    Jak w przypadku każdego rodzaju zagrożenia, najważniejszą rzeczą, jaką możesz zrobić, aby chronić swój komputer, jest unikanie otwierania załączników i łączy do wiadomości e-mail. Nie wchodź w interakcję z e-mailem, jeśli nie wiesz, skąd pochodzi. Pamiętaj także o regularnym tworzeniu kopii zapasowych najważniejszych danych. Pomocne jest również posiadanie wielu kopii zapasowych, ponieważ im więcej masz kopii zapasowych, tym większe są szanse na przywrócenie normalnego stanu w przypadku Kazuara lub innego złośliwego oprogramowania.

    I wreszcie, co nie mniej ważne, chcesz mieć pewność, że wszystkie Twoje programy i aplikacje są aktualne. Nie zapomnij o regularnej aktualizacji systemu operacyjnego. Zagrożenia komputerowe rozwijają się dzięki exploitom w systemach operacyjnych i oprogramowaniu, więc nie pozwól im trwać.

    Popularne

    Najczęściej oglądane

    Ładowanie...