Multi-License Discount Quote
Banco de Dados de Ameaças Backdoors Kazuar

Kazuar

Por GoldSparrow em Backdoors
Traduzir Para:
Português

Os pesquisadores descobriram um Trojan backdoor chamado Kazuar. Descobriu-se que Kazuar estava vinculado a uma campanha de espionagem e parece ter sido escrito com o Microsoft .NET Framework. O Kazuar permite que invasores obtenham acesso completo a um sistema comprometido.

O Kazuar possui várias funções e comandos potenciais, incluindo a capacidade de carregar plug-ins remotamente. Esses plug-ins dão ao Trojan maiores capacidades e o tornam uma ameaça ainda maior. Também havia código na cepa observada que sugeria que havia versões Linux e Mac do Kazuar por aí no mundo. Uma coisa que chama a atenção no Kazuar é que ele funciona por meio de uma Interface de Programação de Aplicativo (API) conectada a um servidor da Web, e pode ser o primeiro – e único – vírus a agir dessa forma.

Quem está por Trás do Kazuar?

Os pesquisadores acreditam que Kazuar está ligado ao Turla, um grupo APT (Advanced Persistent Threat), também conhecido por operar sob os nomes Snake e Uroburos. Turla é conhecido or suas capacidades avançadas e por ser um grupo de ameaças cibernéticas de longa data com sede na Rússia, com supostos laços com o Serviço Federal de Segurança Russo (FSB). O grupo tem como alvo embaixadas, instituições educacionais, empreiteiros de defesa e organizações de pesquisa com seus ataques. O Turla tem uma espécie de assinatura em seu código que identifica as ferramentas como suas, e o código usado para Kazuar pode ser rastreado até 2005, pelo menos.

O Turla já usou diversas ferramentas, a maioria das quais implantadas no segundo estágio de ataques em ambientes comprometidos. O Kazuar pode ser uma nova forma de o grupo Turla conduzir as operações.

O que o Kazuar Faz?

O Kazuar é um Trojan backdoor, que é uma das maiores categorias de ameaças digitais. Os Trojans backdoor podem ser programas caros e abrangentes, com uma variedade de recursos, ou podem ser programas simples que não fazem nada além de executar ping em um servidor. O Kazuar, em particular, batizado em homenagem ao casuar do Sudeste Asiático, é mais um Trojan tradicional de backdoor. Embora o Kazuar seja relativamente básico, ele possui alguns recursos ocultos que o tornam mais ameaçador do que os Trojans backdoor típicos, como o PowerStallion ou o Neuron.

O Kazuar pretende evitar ser detectado enquanto os hackers do Turla coletam informações de seus alvos. Embora o Kazuar seja um aplicativo .NET Framework, ele também possui recursos que o tornam compatível com sistemas Mac e Unix/Linux. Até agora, no entanto, apenas variantes do Windows foram detectadas.

Dê uma olhada no código do Kazuar e você verá quanto trabalho foi investido nesse vírus. Kazuar possui uma rotina de configuração aprimorada e é capaz de se adaptar a computadores vulneráveis, estabelecendo persistência por meio de vários métodos. O vírus cria DLLs e explora serviços do Windows e funções do .NET Framework para permanecer no computador. Assim que o vírus estiver instalado e funcionando, ele fornecerá ao invasor informações sobre o computador alvo e permitirá que ele assuma o controle. Os invasores podem fazer upload de arquivos, fazer capturas de tela, ativar webcams, copiar dados, iniciar arquivos executáveis e realizar outras tarefas por meio de módulos opcionais.

Vale a pena observar o recurso da API. Vírus como esse se conectam principalmente a servidores de Comando e Controle (servidores C2) e aguardam instruções. Kazuar se destaca porque pode criar um servidor Web sempre atento que ajuda o vírus a evitar firewalls e detecções anti-malware.

Como o Kazuar Infecta os Computadores?

O malware Kazuar infecta computadores através de vários métodos diferentes. Os mais comuns são pacotes de software malicioso, spam de e-mail, compartilhamento de rede, links maliciosos e acesso a unidades flash infectadas. O Kazuar certamente causará muitos danos quando chegar ao seu computador.

As vítimas relataram ter que lidar com falhas no disco rígido, travamentos frequentes, aplicativos corrompidos e muito mais. Isso sem falar dos danos reais que isso poderia causar em termos de perda financeira ou roubo de identidade. Você deve tomar medidas para se proteger contra o Kazuar e remover qualquer infecção o mais rápido possível.

Ao infectar um dispositivo alvo, o malware Kazuar coletaria algumas informações sobre o software e hardware do host infectado. Além disso, a ameaça Kazuar geraria um mutex exclusivo baseado no ID serial do disco rígido e no nome de usuário do usuário ativo. Esta etapa do ataque serve para detectar se existem duas variantes do malware Kazuar em execução no computador infectado. Assim que isso for concluído, o malware Kazuar prosseguirá com o ataque, ganhando persistência no host. Isto é conseguido modificando o Registro do Windows do sistema. Em seguida, o malware Kazuar se conectaria ao servidor C&C (Command & Control) de seus operadores e esperaria receber comandos deles. Entre as principais características do malware Kazuar estão:

  • Tirar capturas de tela das janelas e da área de trabalho ativas do usuário.
  • Baixando arquivos.
  • Carregando arquivos.
  • Gravação de imagens através da câmera do sistema.
  • Gerenciando processos em execução.
  • Executando comandos remotos.
  • Listar e gerenciar plug-ins ativos da ameaça.
  • Atualizando-se e sua lista de servidores C&C.
  • Autodestrutivo.

Esta longa lista de capacidades permite que o malware Kazuar cause danos significativos a qualquer sistema em que consiga se infiltrar. Como é provável que os criadores da ameaça Kazuar estejam trabalhando em uma iteração desse malware compatível com OSX, ainda mais usuários estarão em risco. Para proteger seu sistema contra pragas como a ameaça Kazuar, baixe e instale um pacote de software antimalware genuíno que cuidará de sua segurança cibernética e manterá seus dados protegidos.

O Turla Implanta a Nova Variante do Kazuar contra Alvos na Ucrânia

Desde a sua detecção inicial em 2017, o Kazuar apareceu esporadicamente na natureza, afectando principalmente organizações nas esferas governamentais e militares europeias. Sua conexão com o backdoor Sunburst , evidenciada por semelhanças de código, ressalta sua natureza sofisticada. Embora não tenham surgido novas amostras do Kazuar desde o final de 2020, os relatórios sugeriram esforços de desenvolvimento contínuos nas sombras.

A análise do código do Kazuar atualizado destaca um esforço conjunto de seus criadores para aprimorar suas capacidades furtivas, evitar mecanismos de detecção e frustrar esforços de análise. Isto é conseguido através de uma série de métodos avançados de anti-análise, juntamente com técnicas robustas de criptografia e ofuscação para salvaguardar a integridade do código do malware.

A Funcionalidade Central da Nova Variante do Malware Kazuar

No típico estilo Turla, o Kazuar emprega uma estratégia de utilização de sites legítimos sequestrados para sua infraestrutura de Comando e Controle (C2), evitando assim quedas. Além disso, o Kazuar facilita a comunicação através de pipes nomeados, utilizando ambos os métodos para receber comandos ou tarefas remotas.

O Kazuar possui suporte para 45 tarefas distintas dentro de sua estrutura C2, representando um avanço notável em sua funcionalidade em comparação com versões anteriores. Pesquisas anteriores não documentaram algumas dessas tarefas. Em contrapartida, a variante inicial do Kazuar analisada em 2017 suportava apenas 26 comandos C2.

A lista de comandos reconhecidos do Kazuar abrange várias categorias, incluindo:

  • Coleta de dados do host
  • Coleta estendida de dados forenses
  • Manipulação de arquivos
  • Execução de comandos arbitrários
  • Interagindo com as definições de configuração do Kazuar
  • Consultando e manipulando o registro do Windows
  • Execução de scripts (VBS, PowerShell, JavaScript)
  • Envio de solicitações de rede personalizadas
  • Roubo de credenciais e informações confidenciais

O Roubo de Dados Continua entre as Principais Prioridades do Turla

O Kazuar possui a capacidade de coletar credenciais de vários artefatos dentro do computador comprometido, acionados por comandos como 'roubar' ou 'autônomo' recebidos do servidor de Comando e Controle (C2). Esses artefatos abrangem vários aplicativos de nuvem bem conhecidos.

Além disso, o Kazuar pode ter como alvo arquivos confidenciais contendo credenciais associadas a esses aplicativos. Entre os artefatos visados estão o Git SCM (um sistema de controle de origem popular entre os desenvolvedores) e o Signal (uma plataforma de mensagens criptografadas para comunicação privada).

Ao gerar um thread de resolução exclusivo, o Kazuar inicia automaticamente uma extensa tarefa de criação de perfil do sistema, apelidada de 'first_systeminfo_do' por seus criadores. Esta tarefa envolve a coleta e o perfil minuciosos do sistema alvo. Kazuar reúne informações abrangentes sobre a máquina infectada, incluindo detalhes sobre o sistema operacional, especificações de hardware e configuração de rede.

Os dados coletados são armazenados em um arquivo ‘info.txt’, enquanto os logs de execução são salvos em um arquivo ‘logs.txt’. Além disso, como parte desta tarefa, o malware captura uma captura de tela da tela do usuário. Todos os arquivos coletados são então agrupados em um único arquivo, criptografados e despachados para o C2.

O Kazuar Estabelece Múltiplas Tarefas Automatizadas nos Dispositivos Infectados

O Kazuar possui a capacidade de estabelecer procedimentos automatizados executados em intervalos predefinidos com a finalidade de recuperar dados de sistemas comprometidos. Essas tarefas automatizadas abrangem uma variedade de funções, incluindo a coleta de informações abrangentes do sistema, conforme detalhado na seção sobre o Perfil Abrangente do Sistema, captura de capturas de tela, extração de credenciais, recuperação de dados forenses, aquisição de dados de execuções automáticas, obtenção de arquivos de pastas designadas, compilação de uma lista de LNK e roubo de e-mails através do uso de MAPI.

Essas funcionalidades permitem que o Kazuar conduza vigilância sistemática e extração de dados de máquinas infectadas, capacitando atores mal-intencionados com uma infinidade de informações confidenciais. Ao aproveitar essas tarefas automatizadas, o Kazuar agiliza o processo de reconhecimento e exfiltração de dados, aumentando sua eficácia como ferramenta para espionagem cibernética e atividades maliciosas.

O Malware Kazuar Atualizado está Equipado com Amplos Recursos Anti-Análise

Kazuar emprega uma variedade de técnicas sofisticadas de anti-análise, meticulosamente projetadas para evitar detecção e escrutínio. Programado por seus criadores, Kazuar ajusta dinamicamente seu comportamento com base na presença de atividades de análise. Ao determinar que nenhuma análise está em andamento, a Kazuar prossegue com suas operações. Porém, se detectar qualquer indicação de depuração ou análise, ele imediatamente entra em estado inativo, interrompendo toda a comunicação com seu servidor de Comando e Controle (C2).

Antidumping

Dado que Kazuar opera como um componente injetado dentro de outro processo, e não como uma entidade autônoma, surge a perspectiva de extrair seu código da memória do processo host. Para neutralizar essa vulnerabilidade, Kazuar faz uso especializado de um recurso robusto do .NET, o Namespace System.Reflection. Esse recurso concede ao Kazuar a agilidade para recuperar metadados relativos à sua montagem, métodos dinamicamente e outros elementos críticos em tempo real, fortalecendo suas defesas contra possíveis esforços de extração de código.

Além disso, Kazuar implementa uma medida defensiva examinando se a configuração antidump_methods está habilitada. Nesses casos, ele substitui ponteiros para seus métodos personalizados, ao mesmo tempo que desconsidera métodos .NET genéricos, apagando-os efetivamente da memória. Como evidenciado pela mensagem registada de Kazuar, esta abordagem proativa serve para impedir os investigadores de extrair uma versão intacta do malware, aumentando assim a sua resiliência contra análise e deteção.

Verificação do Honeypot

Entre suas tarefas iniciais, Kazuar verifica diligentemente qualquer sinal de artefatos honeypot na máquina alvo. Para conseguir isso, ele faz referência a uma lista predefinida de nomes de processos e nomes de arquivos, empregando uma abordagem codificada. Caso o Kazuar encontre mais de cinco instâncias desses arquivos ou processos especificados, ele imediatamente registra a descoberta como indicativo da presença de um honeypot.

Verificação de ferramentas de análise

Kazuar mantém uma lista de nomes predefinidos que representam várias ferramentas de análise amplamente utilizadas. Ele revisa sistematicamente a lista em relação aos processos ativos no sistema. Ao detectar o funcionamento de qualquer uma dessas ferramentas, Kazuar prontamente registra a constatação, indicando a presença de ferramentas de análise.

Verificação da caixa de areia

Kazuar possui um conjunto de bibliotecas sandbox pré-determinadas codificadas em seu sistema. Ele realiza uma digitalização para identificar DLLs específicas associadas a vários serviços de sandbox. Ao encontrar esses arquivos, Kazuar conclui que ele está sendo executado em um ambiente de laboratório, o que o leva a encerrar suas operações.

Monitor de log de eventos

Kazuar coleta e interpreta sistematicamente eventos registrados nos logs de eventos do Windows. Ele visa especificamente eventos originados de uma seleção de fornecedores de antimalware e segurança. Este enfoque deliberado alinha-se com a sua estratégia de monitorização de actividades associadas a produtos de segurança amplamente utilizados, sob o pressuposto plausível de que estas ferramentas prevalecem entre os alvos potenciais.

O Malware Kazuar Continua a Representar uma Grande Ameaça no Espaço Digital

A variante mais recente do malware Kazuar, recentemente identificada na natureza, apresenta vários atributos notáveis. Ele incorpora técnicas robustas de ofuscação de código e string junto com um modelo multithread para desempenho aprimorado. Além disso, uma série de esquemas de criptografia são implementados para proteger o código de Kazuar da análise e para ocultar os seus dados, seja na memória, durante a transmissão ou no disco. Esses recursos visam coletivamente dotar o backdoor do Kazuar com um nível elevado de furtividade.

Além disso, esta iteração do malware exibe funcionalidades sofisticadas de antianálise e amplos recursos de criação de perfil do sistema. Seu direcionamento específico para aplicações em nuvem é digno de nota. Além disso, esta versão do Kazuar oferece suporte para uma ampla gama de mais de 40 comandos distintos, metade deles não documentados anteriormente por pesquisadores de segurança cibernética.

Como se Proteger contra o Kazuar

Como acontece com qualquer tipo de ameaça, a principal coisa que você pode fazer para proteger seu computador é evitar a abertura de anexos e links de e-mail. Não interaja com o e-mail se não souber de onde ele veio. Além disso, certifique-se de fazer backup de seus dados mais importantes regularmente. Também ajuda ter vários backups, pois quanto mais backups você tiver, maiores serão suas chances de fazer as coisas voltarem ao normal no caso de Kazuar ou outro malware.

Por último, mas não menos importante, você deseja ter certeza de que todos os seus programas e aplicativos estão atualizados. Não se esqueça de atualizar seu sistema operacional regularmente. As ameaças informáticas prosperam através de explorações em sistemas operativos e software, por isso não as deixe permanecer.

Tendendo

Mais visto

Carregando...