Kazuar

Исследователи обнаружили трояна-бэкдора под названием Kazuar. Было обнаружено, что Kazuar связан со шпионской кампанией и, судя по всему, написан с использованием Microsoft .NET Framework. Kazuar позволяет злоумышленникам получить полный доступ к скомпрометированной системе.

Kazuar имеет несколько потенциальных функций и команд, включая возможность удаленной загрузки плагинов. Эти плагины расширяют возможности трояна и делают его более опасным. В наблюдаемом штамме также был код, который предполагал, что в мире существуют версии Kazuar для Linux и Mac. В Kazuar выделяется одна особенность: он работает через интерфейс прикладного программирования (API), подключенный к веб-серверу, и, возможно, это первый и единственный вирус, действующий таким образом.

Кто стоит за Kazuar?

Исследователи полагают, что Kazuar связан с Turla , группой APT (Advanced Persistent Threat), также известной как Snake и Uroburos . Turla известна своими расширенными возможностями и является давней российской группой киберугроз, предположительно связанной с Федеральной службой безопасности (ФСБ) России. Группа атакует посольства, образовательные учреждения, оборонных подрядчиков и исследовательские организации. В коде Turla есть что-то вроде подписи, которая идентифицирует инструменты как принадлежащие им, а код, используемый для Kazuar, можно проследить, по крайней мере, до 2005 года.

Turla в свое время использовала ряд инструментов, большинство из которых развертываются на втором этапе атак в скомпрометированных средах. Kazuar может стать одним из новых способов управления операциями группы Turla.

Что делает Казуар?

Kazuar — это троян-бэкдор, который представляет собой одну из крупнейших категорий цифровых угроз. Трояны-бэкдоры могут быть дорогостоящими и комплексными программами с широким спектром возможностей или простыми программами, которые ничего не делают, кроме проверки связи с сервером. В частности, Kazuar, названный в честь казуара из Юго-Восточной Азии, представляет собой скорее традиционный троян-бэкдор. Хотя Kazuar является относительно простым, у него есть некоторые скрытые функции, которые делают его более опасным, чем типичные трояны-бэкдоры, такие как PowerStallion или Neuron .

Казуар стремится избежать обнаружения, поскольку хакеры Turla собирают информацию о своих целях. Несмотря на то, что Kazuar является приложением .NET Framework, у него также есть функции, делающие его совместимым с системами Mac и Unix/Linux. Однако до сих пор в дикой природе были обнаружены только варианты Windows.

Взгляните на код Kazuar, и вы увидите, сколько труда было вложено в этот вирус. Kazuar имеет расширенную процедуру настройки и способен адаптироваться к уязвимым компьютерам, обеспечивая постоянство с помощью ряда методов. Вирус создает библиотеки DLL и использует службы Windows и функции .NET Framework, чтобы оставаться на компьютере. Как только вирус заработает, он предоставит злоумышленнику информацию о целевом компьютере и позволит ему взять на себя управление. Злоумышленники могут загружать файлы, делать снимки экрана, активировать веб-камеры, копировать данные, запускать исполняемые файлы и выполнять другие задачи с помощью дополнительных модулей.

Стоит обратить внимание на функцию API. Подобные вирусы в основном подключаются к серверам управления и контроля (серверам C2) и ждут инструкций. Kazuar выделяется тем, что может создать постоянно прослушивающий веб-сервер, который помогает вирусу обходить брандмауэры и средства защиты от вредоносных программ.

Как Kazuar заражает компьютеры?

Вредоносная программа Kazuar заражает компьютеры несколькими различными способами. Наиболее распространенными являются пакеты вредоносного ПО, спам по электронной почте, общий доступ к сети, вредоносные ссылки и доступ к зараженным флэш-накопителям. Kazuar обязательно нанесет огромный ущерб, попав на ваш компьютер.

Жертвы сообщают, что им приходится сталкиваться с отказами жесткого диска, частыми сбоями, поврежденными приложениями и многим другим. Это не говоря уже о реальном вреде, который это может нанести с точки зрения финансовых потерь или кражи личных данных. Вам следует принять меры, чтобы защитить себя от Казуара и как можно скорее удалить любую инфекцию.

При заражении целевого устройства вредоносная программа Kazuar собирает некоторую информацию о программном и аппаратном обеспечении зараженного хоста. Более того, угроза Kazuar будет генерировать уникальный мьютекс на основе серийного идентификатора жесткого диска и имени пользователя активного пользователя. Этот этап атаки позволяет определить, работают ли на зараженном компьютере два варианта вредоносного ПО Kazuar. Как только это будет завершено, вредоносное ПО Kazuar продолжит атаку, сохраняя устойчивость на хосте. Это достигается путем изменения реестра Windows системы. Затем вредоносное ПО Kazuar подключалось к C&C-серверу (Command & Control) своих операторов и ждало получения от них команд. Среди основных особенностей вредоносного ПО Kazuar можно выделить:

• Создание снимков экрана активных окон и рабочего стола пользователя.
• Загрузка файлов.
• Загрузка файлов.
• Запись видео через камеру системы.
• Управление запущенными процессами.
• Выполнение удаленных команд.
• Список и управление активными плагинами угрозы.
• Обновляет себя и свой список C&C серверов.

• Самоуничтожение.

Этот длинный список возможностей позволяет вредоносному ПО Kazuar нанести значительный ущерб любой системе, в которую ему удастся проникнуть. Поскольку вполне вероятно, что создатели угрозы Kazuar работают над OSX-совместимой версией этого вредоносного ПО, риску подвергнется еще больше пользователей. Чтобы защитить вашу систему от таких вредителей, как угроза Kazuar, обязательно загрузите и установите настоящий пакет антивирусного программного обеспечения, который позаботится о вашей кибербезопасности и обеспечит безопасность ваших данных.

Turla развертывает новый вариант Kazuar против целей в Украине

С момента своего первого обнаружения в 2017 году Kazuar время от времени появлялся в дикой природе, в первую очередь затрагивая организации в европейской правительственной и военной сферах. Его связь с бэкдором Sunburst , о чем свидетельствует сходство кода, подчеркивает его сложную природу. Хотя с конца 2020 года новых образцов Kazuar не появилось, в отчетах говорится, что усилия по разработке продолжаются в тени.

Анализ обновленного кода Kazuar подчеркивает согласованные усилия его создателей по расширению его скрытных возможностей, обходу механизмов обнаружения и противодействию попыткам анализа. Это достигается за счет ряда передовых методов антианализа в сочетании с надежными методами шифрования и запутывания для защиты целостности кода вредоносного ПО.

Основная функциональность нового варианта вредоносного ПО Kazuar

В типичной для Turla манере Kazuar использует стратегию использования захваченных законных веб-сайтов для своей инфраструктуры управления и контроля (C2), избегая таким образом удалений. Кроме того, Kazuar упрощает связь через именованные каналы, используя оба метода для получения удаленных команд или задач.

Kazuar может похвастаться поддержкой 45 различных задач в рамках своей структуры C2, что представляет собой заметное улучшение его функциональности по сравнению с более ранними версиями. Предыдущие исследования не документировали некоторые из этих задач. Напротив, первоначальный вариант Kazuar, проанализированный в 2017 году, поддерживал только 26 команд C2.

Список признанных команд Kazuar охватывает различные категории, в том числе:

• Сбор данных хоста
• Расширенный сбор криминалистических данных
• Манипулирование файлами
• Выполнение произвольных команд
• Взаимодействие с настройками конфигурации Kazuar
• Запрос и управление реестром Windows

• Выполнение скриптов (VBS, PowerShell, JavaScript)

• Отправка пользовательских сетевых запросов

• Кража учетных данных и конфиденциальной информации

Кража данных остается одним из главных приоритетов Turla

Kazuar обладает способностью собирать учетные данные из различных артефактов на скомпрометированном компьютере, вызываемых такими командами, как «кража» или «автономный режим», полученными от сервера управления и контроля (C2). Эти артефакты включают в себя множество известных облачных приложений.

Кроме того, Kazuar может атаковать конфиденциальные файлы, содержащие учетные данные, связанные с этими приложениями. Среди целевых артефактов — Git SCM (популярная среди разработчиков система контроля версий) и Signal (платформа зашифрованного обмена сообщениями для частного общения).

Создав уникальный поток решателя, Kazuar автоматически инициирует обширную задачу профилирования системы, которую ее создатели назвали «first_systeminfo_do». Эта задача влечет за собой тщательный сбор и профилирование целевой системы. Kazuar собирает исчерпывающую информацию о зараженной машине, включая сведения об операционной системе, характеристиках оборудования и конфигурации сети.

Собранные данные хранятся в файле info.txt, а журналы выполнения сохраняются в файле logs.txt. Кроме того, в рамках этой задачи вредоносная программа делает снимок экрана пользователя. Все собранные файлы затем объединяются в единый архив, шифруются и отправляются в С2.

Kazuar устанавливает на зараженных устройствах несколько автоматизированных задач

Kazuar обладает способностью устанавливать автоматизированные процедуры, которые выполняются через заранее определенные интервалы с целью получения данных из скомпрометированных систем. Эти автоматизированные задачи включают в себя ряд функций, включая сбор комплексной информации о системе, как подробно описано в разделе «Комплексное профилирование системы», создание снимков экрана, извлечение учетных данных, получение данных экспертизы, получение данных автозапуска, получение файлов из назначенных папок, составление списка LNK-файлы и кража электронной почты с помощью MAPI.

Эти функции позволяют Kazuar проводить систематическое наблюдение и извлекать данные с зараженных компьютеров, предоставляя злоумышленникам множество конфиденциальной информации. Используя эти автоматизированные задачи, Kazuar оптимизирует процесс разведки и кражи данных, повышая его эффективность как инструмента кибершпионажа и вредоносной деятельности.

Обновленная вредоносная программа Kazuar оснащена расширенными возможностями антианализа

Kazuar использует множество сложных методов антианализа, тщательно разработанных для уклонения от обнаружения и проверки. Запрограммированный его создателями, Kazuar динамически корректирует свое поведение в зависимости от наличия аналитической активности. Когда Kazuar определяет, что никакого анализа не проводится, он продолжает свою деятельность. Однако, если он обнаруживает какие-либо признаки отладки или анализа, он немедленно переходит в состояние ожидания, прекращая всю связь со своим сервером управления и контроля (C2).

Антидемпинг

Учитывая, что Kazuar работает как внедренный компонент внутри другого процесса, а не как автономный объект, вырисовывается перспектива извлечения его кода из памяти хост-процесса. Чтобы противодействовать этой уязвимости, Kazuar умело использует надежную функцию .NET — пространство имен System.Reflection. Эта возможность дает Kazuar возможность получать метаданные, относящиеся к его сборке, динамическим методам и другим важным элементам в режиме реального времени, укрепляя его защиту от потенциальных попыток извлечения кода.

Кроме того, Kazuar реализует защитную меру, проверяя, включен ли параметр antidump_methods. В таких случаях он переопределяет указатели на свои специальные методы, игнорируя при этом общие методы .NET, эффективно стирая их из памяти. Как видно из зарегистрированного сообщения Kazuar, этот упреждающий подход мешает исследователям извлечь неповрежденную версию вредоносного ПО, тем самым повышая его устойчивость к анализу и обнаружению.

Проверка приманки

Среди своих первоначальных задач Kazuar тщательно сканирует на целевой машине любые признаки артефактов-приманок. Для этого он обращается к заранее определенному списку имен процессов и имен файлов, используя жестко запрограммированный подход. Если Kazuar обнаружит более пяти экземпляров указанных файлов или процессов, он сразу же запишет это обнаружение как признак присутствия ловушки.

Проверка инструментов анализа

Kazuar поддерживает список предопределенных имен, представляющих различные широко используемые инструменты анализа. Он систематически сверяет реестр с активными процессами в системе. При обнаружении работы любого из этих инструментов «Казуар» оперативно регистрирует обнаружение, указывая на наличие инструментов анализа.

Проверка песочницы

Kazuar обладает набором предопределенных библиотек песочницы, жестко запрограммированных в его системе. Он проводит сканирование для выявления конкретных DLL, связанных с различными службами песочницы. Обнаружив эти файлы, Kazuar приходит к выводу, что он работает в лабораторной среде, что побуждает его прекратить свою деятельность.

Монитор журнала событий

Kazuar систематически собирает и интерпретирует события, записанные в журналах событий Windows. Он специально нацелен на события, исходящие от ряда поставщиков средств защиты от вредоносного ПО и средств обеспечения безопасности. Такая целенаправленная направленность согласуется со стратегией мониторинга деятельности, связанной с широко используемыми продуктами безопасности, при вероятном предположении, что эти инструменты преобладают среди потенциальных целей.

Вредоносное ПО Kazuar продолжает представлять серьезную угрозу в цифровом пространстве

Последний вариант вредоносного ПО Kazuar, недавно обнаруженный в дикой природе, демонстрирует несколько примечательных особенностей. Он включает в себя надежные методы обфускации кода и строк, а также многопоточную модель для повышения производительности. Кроме того, реализован ряд схем шифрования для защиты кода Kazuar от анализа и сокрытия его данных в памяти, во время передачи или на диске. В совокупности эти функции направлены на то, чтобы придать бэкдору Kazuar повышенный уровень скрытности.

Кроме того, эта версия вредоносного ПО обладает сложными функциями антианализа и обширными возможностями профилирования системы. Примечательно, что его конкретная ориентация на облачные приложения. Более того, эта версия Kazuar может похвастаться поддержкой обширного набора из более чем 40 различных команд, половина из которых ранее не была документирована исследователями кибербезопасности.

Как защититься от Казуара

Как и в случае с любым другим видом угрозы, главное, что вы можете сделать для защиты своего компьютера, — это не открывать вложения и ссылки электронной почты. Не взаимодействуйте с электронным письмом, если не знаете, откуда оно пришло. Кроме того, не забывайте регулярно создавать резервные копии наиболее важных данных. Также полезно иметь несколько резервных копий: чем больше у вас резервных копий, тем выше ваши шансы вернуть все в нормальное состояние в случае Kazuar или другого вредоносного ПО.

И последнее, но не менее важное: вы должны убедиться, что все ваши программы и приложения обновлены. Не забывайте регулярно обновлять свою операционную систему. Компьютерные угрозы процветают благодаря эксплойтам в операционных системах и программном обеспечении, поэтому не позволяйте им задерживаться.