Multi-License Discount Quote
Baza de date pentru amenințări Backdoors Kazuar

Kazuar

Până în GoldSparrow în Backdoors
Tradu in:
Română

Cercetătorii au descoperit un troian de tip backdoor numit Kazuar. S-a descoperit că Kazuar este legat de o campanie de spionaj și pare să fie scris cu Microsoft .NET Framework. Kazuar permite atacatorilor să obțină acces complet la un sistem compromis.

Kazuar are mai multe funcții și comenzi potențiale, inclusiv capacitatea de a încărca pluginuri de la distanță. Aceste plugin-uri oferă troianului capacități mai mari și îl fac mai mult o amenințare. Exista, de asemenea, cod în tulpina observată care sugera că există versiuni Linux și Mac ale Kazuar în lume. Un lucru care iese în evidență la Kazuar este că funcționează printr-o interfață de programare a aplicațiilor (API) conectată la un server web și poate fi primul – și singurul – virus care acționează în acest fel.

Cine se află în spatele lui Kazuar?

Cercetătorii cred că Kazuar este legat de Turla , un grup APT (Advanced Persistent Threat), cunoscut și că operează sub numele de Snake și Uroburos . Turla este cunoscut pentru capacitățile sale avansate și pentru faptul că este un grup de amenințări cibernetice cu sediul în Rusia, cu presupuse legături cu Serviciul Federal de Securitate al Rusiei (FSB). Grupul vizează cu atacurile lor ambasade, instituții de învățământ, contractori de apărare și organizații de cercetare. Turla are o semnătură în codul lor care identifică instrumentele ca fiind ale lor, iar codul folosit pentru Kazuar poate fi urmărit cel puțin din 2005.

Turla a folosit o serie de instrumente la vremea lor, majoritatea fiind implementate în a doua etapă a atacurilor în medii compromise. Kazuar ar putea fi o nouă modalitate prin care grupul Turla gestionează operațiunile.

Ce face Kazuar?

Kazuar este un troian backdoor, care este una dintre cele mai mari categorii de amenințări digitale. Troienii Backdoor pot fi programe scumpe și cuprinzătoare, cu o gamă largă de capabilități, sau pot fi programe simple care nu fac altceva decât să pună ping la un server. Kazuar, în special, numit după pasărea cazuar din Asia de Sud-Est, este mai degrabă un troian tradițional din spate. În timp ce Kazuar este relativ de bază, are unele caracteristici ascunse care îl fac mai mult o amenințare decât troienii tipici de tip backdoor, cum ar fi PowerStallion sau Neuron .

Kazuar își propune să evite să fie detectat în timp ce hackerii Turla adună informații de la țintele lor. Chiar dacă Kazuar este o aplicație .NET Framework, are și caracteristici care o fac compatibilă cu sistemele Mac și Unix/Linux. Până acum, însă, doar variantele de Windows au fost depistate în sălbăticie.

Aruncă o privire la codul pentru Kazuar și vei vedea cât de multă muncă a fost pusă în acest virus. Kazuar are o rutină de configurare îmbunătățită și este capabil să se adapteze computerelor vulnerabile prin stabilirea persistenței printr-o serie de metode. Virusul creează DLL-uri și exploatează serviciile Windows și funcțiile .NET Framework pentru a rămâne pe un computer. Odată ce virusul este activ și rulează, acesta va oferi atacatorului informații despre computerul țintă și îi va lăsa să preia controlul. Atacatorii pot să încarce fișiere, să facă capturi de ecran, să activeze camere web, să copieze date, să lanseze fișiere executabile și să efectueze alte sarcini prin module opționale.

Merită să țineți cont de caracteristica API. Virușii ca acesta se conectează în primul rând la serverele de comandă și control (servere C2) și așteaptă instrucțiuni. Kazuar iese în evidență pentru că poate crea un server Web care ascultă mereu, care ajută virusul să evite firewall-urile și detectările anti-malware.

Cum infectează Kazuar computerele?

Malware-ul Kazuar infectează computerele prin mai multe metode diferite. Cele mai comune sunt pachetele de software rău intenționat, spam-ul prin e-mail, partajarea rețelei, linkurile rău intenționate și accesarea unităților flash infectate. Kazuar va cauza cu siguranță o cantitate masivă de daune odată ce ajunge pe computer.

Victimele au raportat că au avut de-a face cu defecțiuni ale hard diskului, blocări frecvente, aplicații corupte și multe altele. Asta pentru a nu spune nimic despre răul real pe care l-ar putea face în ceea ce privește pierderea financiară sau furtul de identitate. Ar trebui să luați măsuri pentru a vă proteja împotriva Kazuar și pentru a elimina orice infecție cât mai curând posibil.

La infectarea unui dispozitiv vizat, malware-ul Kazuar va colecta unele informații cu privire la software-ul și hardware-ul gazdei infectate. În plus, amenințarea Kazuar ar genera un mutex unic bazat pe ID-ul serial al hard disk-ului și numele de utilizator al utilizatorului activ. Acest pas al atacului servește la detectarea dacă există două variante ale malware-ului Kazuar care rulează pe computerul infectat. Odată ce acest lucru este finalizat, malware-ul Kazuar va continua cu atacul câștigând persistență pe gazdă. Acest lucru se realizează prin modificarea Registrului Windows al sistemului. Apoi, malware-ul Kazuar se va conecta la serverul C&C (Command & Control) al operatorilor săi și așteaptă să primească comenzi de către aceștia. Printre principalele caracteristici ale malware-ului Kazuar se numără:

  • Realizarea de capturi de ecran ale ferestrelor și desktopului active ale utilizatorului.
  • Descărcarea fișierelor.
  • Încărcarea fișierelor.
  • Înregistrarea imaginilor prin intermediul camerei sistemului.
  • Gestionarea proceselor care rulează.
  • Executarea comenzilor de la distanță.
  • Listarea și gestionarea pluginurilor active ale amenințării.
  • Actualizarea în sine și a listei sale de servere C&C.
  • Se autodistruge.

    • Această listă lungă de capabilități permite malware-ului Kazuar să provoace daune semnificative oricărui sistem în care reușește să se infiltreze. Deoarece este probabil ca creatorii amenințării Kazuar să lucreze la o iterație compatibilă cu OSX a acestui malware, și mai mulți utilizatori vor fi expuși riscului. Pentru a vă proteja sistemul de dăunători precum amenințarea Kazuar, asigurați-vă că descărcați și instalați o suită de software anti-malware autentică care va avea grijă de securitatea cibernetică și vă va păstra datele în siguranță.

    Turla implementează o nouă variantă Kazuar împotriva țintelor din Ucraina

    De la detectarea sa inițială în 2017, Kazuar a apărut sporadic în sălbăticie, afectând în primul rând organizațiile din sferele guvernamentale și militare europene. Conexiunea sa cu ușa din spate Sunburst , evidențiată de asemănările de cod, subliniază natura sa sofisticată. Deși nu au apărut noi eșantioane Kazuar de la sfârșitul anului 2020, rapoartele sugerează eforturi de dezvoltare în desfășurare în umbră.

    Analiza codului Kazuar actualizat evidențiază un efort concertat al creatorilor săi de a-și îmbunătăți capacitățile de ascundere, de a evita mecanismele de detectare și de a împiedica eforturile de analiză. Acest lucru se realizează printr-o serie de metode avansate de anti-analiza, cuplate cu tehnici robuste de criptare și ofuscare pentru a proteja integritatea codului malware.

    Funcționalitatea de bază a noii variante de malware Kazuar

    În mod tipic Turla, Kazuar folosește o strategie de utilizare a site-urilor web legitime deturnate pentru infrastructura sa de comandă și control (C2), evitând astfel eliminarea. În plus, Kazuar facilitează comunicarea prin conducte numite, utilizând ambele metode pentru a primi comenzi sau sarcini de la distanță.

    Kazuar se mândrește cu suport pentru 45 de sarcini distincte în cadrul său C2, reprezentând un progres notabil în funcționalitatea sa în comparație cu versiunile anterioare. Cercetările anterioare nu documentaseră unele dintre aceste sarcini. În schimb, varianta inițială de Kazuar analizată în 2017 a suportat doar 26 de comenzi C2.

    Lista de comenzi recunoscute a lui Kazuar cuprinde diverse categorii, inclusiv:

    • Colectarea datelor gazdă
    • Colectarea extinsă a datelor criminalistice
    • Manipularea fișierelor
    • Executarea comenzilor arbitrare
    • Interacționează cu setările de configurare ale lui Kazuar
  • Interogarea și manipularea registrului Windows
  • Executarea scripturilor (VBS, PowerShell, JavaScript)
  • Trimiterea solicitărilor de rețea personalizate
  • Furtul de acreditări și informații sensibile

    • Furtul de date rămâne printre prioritățile de top pentru Turla

    Kazuar are capacitatea de a colecta acreditări de la diferite artefacte din computerul compromis, declanșate de comenzi precum „fura” sau „nesupravegherea” primite de la serverul Command-and-Control (C2). Aceste artefacte cuprind numeroase aplicații cloud binecunoscute.

    Mai mult, Kazuar poate viza fișiere sensibile care conțin acreditări asociate cu aceste aplicații. Printre artefactele vizate se numără Git SCM (un sistem popular de control al sursei printre dezvoltatori) și Signal (o platformă de mesagerie criptată pentru comunicare privată).

    La generarea unui fir unic de rezolvare, Kazuar inițiază automat o sarcină extinsă de profilare a sistemului, numită „first_systeminfo_do” de către creatorii săi. Această sarcină presupune colectarea amănunțită și profilarea sistemului vizat. Kazuar adună informații complete despre mașina infectată, inclusiv detalii despre sistemul de operare, specificațiile hardware și configurația rețelei.

    Datele colectate sunt stocate într-un fișier „info.txt”, în timp ce jurnalele de execuție sunt salvate într-un fișier „logs.txt”. În plus, ca parte a acestei sarcini, malware-ul captează o captură de ecran a ecranului utilizatorului. Toate fișierele colectate sunt apoi grupate într-o singură arhivă, criptate și expediate către C2.

    Kazuar stabilește mai multe sarcini automate pe dispozitivele infectate

    Kazuar are capacitatea de a stabili proceduri automate care se execută la intervale predefinite în scopul de a prelua date din sistemele compromise. Aceste sarcini automatizate cuprind o gamă largă de funcții, inclusiv colectarea de informații complete despre sistem, așa cum este detaliat în secțiunea privind Profilarea cuprinzătoare a sistemului, capturarea de capturi de ecran, extragerea acreditărilor, preluarea datelor criminalistice, achiziționarea de date de rulări automate, obținerea de fișiere din folderele desemnate, compilarea unei liste de Fișierele LNK și furtul de e-mailuri prin utilizarea MAPI.

    Aceste funcționalități îi permit lui Kazuar să efectueze o supraveghere sistematică și să extragă date de pe mașinile infectate, dând putere actorilor rău intenționați cu o multitudine de informații sensibile. Prin valorificarea acestor sarcini automatizate, Kazuar eficientizează procesul de recunoaștere și exfiltrare a datelor, sporindu-și eficiența ca instrument pentru spionaj cibernetic și activități rău intenționate.

    Programul malware Kazuar actualizat este echipat cu capacități extinse de anti-analiza

    Kazuar folosește o varietate de tehnici sofisticate de anti-analiză, concepute meticulos pentru a evita detectarea și controlul. Programat de creatorii săi, Kazuar își ajustează dinamic comportamentul în funcție de prezența activităților de analiză. Când stabilește că nu este în curs de analiză, Kazuar își continuă operațiunile. Cu toate acestea, dacă detectează orice indiciu de depanare sau analiză, intră imediat într-o stare inactivă, oprind orice comunicare cu serverul său de comandă și control (C2).

    Anti-Dumping

    Având în vedere că Kazuar funcționează ca o componentă injectată în cadrul unui alt proces, mai degrabă decât ca o entitate autonomă, perspectiva extragerii codului său din memoria procesului gazdă se profilează. Pentru a contracara această vulnerabilitate, Kazuar folosește cu pricepere o caracteristică robustă din .NET, spațiul de nume System.Reflection. Această capacitate îi oferă lui Kazuar agilitatea de a prelua metadatele referitoare la ansamblul său, metodele în mod dinamic și alte elemente critice în timp real, întărindu-și apărarea împotriva potențialelor eforturi de extragere a codului.

    În plus, Kazuar implementează o măsură defensivă verificând dacă setarea antidump_methods este activată. În astfel de cazuri, suprascrie indicatorii către metodele sale personalizate, ignorând în același timp metodele generice .NET, ștergându-le efectiv din memorie. După cum demonstrează mesajul înregistrat de Kazuar, această abordare proactivă îi împiedică pe cercetători să extragă o versiune intactă a malware-ului, sporind astfel rezistența acestuia împotriva analizei și detectării.

    Honeypot Check

    Printre sarcinile sale inițiale, Kazuar scanează cu sârguință pentru orice semne de artefacte honeypot pe mașina țintă. Pentru a realiza acest lucru, face referire la o listă predefinită de nume de procese și nume de fișiere, utilizând o abordare codificată. În cazul în care Kazuar întâlnește mai mult de cinci instanțe ale acestor fișiere sau procese specificate, acesta înregistrează prompt descoperirea ca indicând prezența unui honeypot.

    Verificarea instrumentelor de analiză

    Kazuar menține o listă de nume predefinite reprezentând diverse instrumente de analiză utilizate pe scară largă. Evaluează sistematic lista în raport cu procesele active din sistem. La detectarea funcționării oricăruia dintre aceste instrumente, Kazuar înregistrează prompt constatarea, indicând prezența instrumentelor de analiză.

    Verificare Sandbox

    Kazuar posedă un set de biblioteci sandbox predeterminate codificate în sistemul său. Efectuează scanări pentru a identifica anumite DLL-uri asociate cu diferite servicii sandbox. La întâlnirea acestor fișiere, Kazuar ajunge la concluzia că rulează într-un mediu de laborator, ceea ce îl determină să își înceteze operațiunile.

    Monitorul jurnalului evenimentelor

    Kazuar adună și interpretează sistematic evenimentele înregistrate în jurnalele de evenimente Windows. Acesta vizează în mod special evenimentele care provin de la o selecție de furnizori de anti-malware și securitate. Această focalizare deliberată se aliniază cu strategia sa de monitorizare a activităților asociate cu produsele de securitate utilizate pe scară largă, sub presupunerea plauzibilă că aceste instrumente sunt predominante printre ținte potențiale.

    Malware-ul Kazuar continuă să reprezinte o amenințare majoră în spațiul digital

    Cea mai recentă variantă a malware-ului Kazuar, identificată recent în sălbăticie, prezintă câteva atribute notabile. Încorporează coduri robuste și tehnici de ofuscare a șirurilor alături de un model cu mai multe fire pentru performanțe îmbunătățite. În plus, o serie de scheme de criptare este implementată pentru a proteja codul lui Kazuar de analiză și pentru a ascunde datele acestuia, fie în memorie, în timpul transmisiei sau pe disc. Aceste caracteristici urmăresc în mod colectiv să confere ușii din spate Kazuar cu un nivel sporit de ascundere.

    În plus, această iterație a malware-ului prezintă funcționalități sofisticate anti-analiza și capabilități extinse de profilare a sistemului. Direcționarea sa specifică a aplicațiilor cloud este demnă de remarcat. Mai mult, această versiune de Kazuar oferă suport pentru o gamă extinsă de peste 40 de comenzi distincte, jumătate dintre ele nedocumentate anterior de către cercetătorii în securitate cibernetică.

    Cum să vă protejați împotriva Kazuar

    Ca și în cazul oricărui tip de amenințare, principalul lucru pe care îl puteți face pentru a vă proteja computerul este să evitați deschiderea atașamentelor și linkurilor de e-mail. Nu interacționați cu e-mailul dacă nu știți de unde a venit. De asemenea, asigurați-vă că faceți periodic copii de rezervă ale celor mai importante date. De asemenea, ajută să aveți mai multe backup-uri, deoarece cu cât aveți mai multe backup-uri, cu atât sunt mai mari șansele de a reveni la normal în cazul Kazuar sau al unui alt malware.

    Nu în ultimul rând, doriți să vă asigurați că toate programele și aplicațiile dvs. sunt actualizate. Nu uitați să vă actualizați sistemul de operare prea regulat. Amenințările informatice se dezvoltă prin exploatări în sistemele de operare și software, așa că nu le lăsați să zăbovească.

    Trending

    Cele mai văzute

    Se încarcă...