Kazuar

Vedci objavili trójskeho koňa s názvom Kazuar. Zistilo sa, že Kazuar je spojený so špionážnou kampaňou a zdá sa, že je napísaný pomocou Microsoft .NET Framework. Kazuar umožňuje útočníkom získať úplný prístup k napadnutému systému.

Kazuar má niekoľko potenciálnych funkcií a príkazov, vrátane možnosti načítať pluginy na diaľku. Tieto doplnky poskytujú trójskemu koňovi väčšie možnosti a robia z neho väčšiu hrozbu. V pozorovanom kmeni bol tiež kód, ktorý naznačoval, že na svete existujú verzie Kazuar pre Linux a Mac. Jedna vec, ktorá na Kazuare vyniká, je, že funguje prostredníctvom aplikačného programovacieho rozhrania (API) pripojeného k webovému serveru a môže to byť prvý – a jediný – vírus, ktorý koná takýmto spôsobom.

Kto stojí za Kazuarom?

Výskumníci sa domnievajú, že Kazuar je prepojený s Turlou , skupinou APT (Advanced Persistent Threat), ktorá je známa aj tým, že pôsobí pod názvami Snake a Uroburos . Turla je známa svojimi pokročilými schopnosťami a je dlhodobou ruskou skupinou pre kybernetické hrozby s údajnými väzbami na ruskú Federálnu bezpečnostnú službu (FSB). Skupina sa svojimi útokmi zameriava na veľvyslanectvá, vzdelávacie inštitúcie, dodávateľov obrany a výskumné organizácie. Turla má vo svojom kóde niečo ako podpis, ktorý identifikuje nástroje ako ich, a kód používaný pre Kazuar možno vysledovať prinajmenšom do roku 2005.

Turla vo svojej dobe používala množstvo nástrojov, z ktorých väčšina je nasadená v druhej fáze útokov v kompromitovaných prostrediach. Kazuar by mohol byť jedným novým spôsobom, akým skupina Turla riadi operácie.

Čo robí Kazuar?

Kazuar je backdoor trójsky kôň, ktorý je jednou z najväčších kategórií digitálnych hrozieb. Backdoor trójske kone môžu byť drahé a komplexné programy s celým radom schopností, alebo to môžu byť jednoduché programy, ktoré nerobia nič iné ako ping na server. Najmä Kazuar, pomenovaný podľa kazuára z juhovýchodnej Ázie, je skôr tradičným trójskym koňom so zadnými vrátkami. Aj keď je Kazuar relatívne jednoduchý, má niektoré skryté funkcie, ktoré z neho robia väčšiu hrozbu ako typické trójske kone typu backdoor ako PowerStallion alebo Neuron .

Kazuar sa snaží vyhnúť odhaleniu, keď hackeri z Turly získavajú informácie od svojich cieľov. Aj keď je Kazuar aplikáciou .NET Framework, má tiež funkcie, vďaka ktorým je kompatibilný so systémami Mac a Unix/Linux. Zatiaľ však boli vo voľnej prírode pozorované len varianty Windows.

Pozrite sa na kód pre Kazuar a uvidíte, koľko práce bolo vložené do tohto vírusu. Kazuar má vylepšenú rutinu nastavenia a je schopný prispôsobiť sa zraniteľným počítačom tým, že zaistí stálosť prostredníctvom množstva metód. Vírus vytvára knižnice DLL a využíva služby systému Windows a funkcie .NET Framework, aby zostal v počítači. Akonáhle je vírus v prevádzke, poskytne útočníkovi informácie o cieľovom počítači a nechá ho prevziať kontrolu. Útočníci môžu prostredníctvom voliteľných modulov nahrávať súbory, vytvárať snímky obrazovky, aktivovať webové kamery, kopírovať údaje, spúšťať spustiteľné súbory a vykonávať ďalšie úlohy.

Stojí za to vziať na vedomie funkciu API. Vírusy ako tento sa primárne pripájajú k serverom Command and Control (servery C2) a čakajú na pokyny. Kazuar vyniká tým, že dokáže vytvoriť vždy počúvajúci webový server, ktorý pomáha vírusu vyhnúť sa firewallom a detekcii škodlivého softvéru.

Ako Kazuar infikuje počítače?

Malvér Kazuar infikuje počítače niekoľkými rôznymi metódami. Najbežnejšie sú balíky škodlivého softvéru, e-mailový spam, zdieľanie siete, škodlivé odkazy a prístup k infikovaným flash diskom. Kazuar určite spôsobí obrovské škody, keď sa dostane do vášho počítača.

Obete uviedli, že sa museli vysporiadať so zlyhaním pevného disku, častými pádmi, poškodenými aplikáciami a podobne. To nehovorí nič o skutočnej škode, ktorú by to mohlo spôsobiť v podobe finančnej straty alebo krádeže identity. Mali by ste podniknúť kroky na ochranu pred Kazuarom a čo najskôr odstrániť akúkoľvek infekciu.

Po infikovaní cieľového zariadenia malvér Kazuar zhromaždil niektoré informácie týkajúce sa softvéru a hardvéru infikovaného hostiteľa. Okrem toho by hrozba Kazuar vygenerovala jedinečný mutex na základe sériového ID pevného disku a používateľského mena aktívneho používateľa. Tento krok útoku slúži na zistenie, či na infikovanom počítači bežia dva varianty malvéru Kazuar. Po dokončení bude malvér Kazuar pokračovať v útoku získaním perzistencie na hostiteľovi. To sa dosiahne úpravou registra systému Windows. Potom by sa malvér Kazuar pripojil k serveru C&C (Command & Control) svojich operátorov a čakal, kým mu budú zadané príkazy. Medzi hlavné vlastnosti malvéru Kazuar patrí:

• Vytváranie snímok obrazovky aktívnych okien a pracovnej plochy používateľa.
• Sťahovanie súborov.
• Nahrávanie súborov.
• Nahrávanie záberov cez kameru systému.
• Riadenie spustených procesov.
• Vykonávanie vzdialených príkazov.
• Zoznam a správa aktívnych doplnkov hrozby.

Tento dlhý zoznam schopností umožňuje malvéru Kazuar spôsobiť značné škody na akomkoľvek systéme, ktorý sa mu podarí infiltrovať. Keďže je pravdepodobné, že tvorcovia hrozby Kazuar pracujú na OSX-kompatibilnej iterácii tohto malvéru, bude ohrozených ešte viac používateľov. Ak chcete chrániť svoj systém pred škodcami, ako je hrozba Kazuar, nezabudnite si stiahnuť a nainštalovať originálny softvérový balík proti malvéru, ktorý sa postará o vašu kybernetickú bezpečnosť a uchová vaše údaje v bezpečí.

Turla nasadzuje nový variant Kazuar proti cieľom na Ukrajine

Od svojho prvého odhalenia v roku 2017 sa Kazuar sporadicky objavuje vo voľnej prírode, čo ovplyvňuje najmä organizácie v rámci európskej vládnej a vojenskej sféry. Jeho prepojenie so zadnými vrátkami Sunburst , doložené podobnosťou kódov, podčiarkuje jeho sofistikovanú povahu. Aj keď sa od konca roku 2020 neobjavili žiadne nové vzorky Kazuaru, správy naznačujú, že v tieni pokračujú snahy o vývoj.

Analýza aktualizovaného kódu Kazuar poukazuje na sústredené úsilie jeho tvorcov zlepšiť jeho schopnosti utajenia, vyhnúť sa detekčným mechanizmom a zmariť snahy o analýzu. Dosahuje sa to prostredníctvom radu pokročilých metód antianalýzy v spojení s robustnými šifrovacími a zahmlievacími technikami na zabezpečenie integrity malvérového kódu.

Základná funkcia nového variantu Kazuar Malware

V typickom štýle Turla, Kazuar využíva stratégiu využívania unesených legitímnych webových stránok pre svoju infraštruktúru velenia a riadenia (C2), čím sa vyhýba zastaveniu. Okrem toho, Kazuar uľahčuje komunikáciu cez pomenované kanály, pričom využíva obe metódy na prijímanie vzdialených príkazov alebo úloh.

Kazuar sa môže pochváliť podporou pre 45 rôznych úloh v rámci C2, čo predstavuje významný pokrok v jeho funkčnosti v porovnaní s predchádzajúcimi verziami. Predchádzajúce výskumy niektoré z týchto úloh nezdokumentovali. Na rozdiel od toho pôvodný variant Kazuar analyzovaný v roku 2017 podporoval iba 26 príkazov C2.

Zoznam uznávaných príkazov spoločnosti Kazuar zahŕňa rôzne kategórie vrátane:

• Zber údajov o hostiteľovi
• Rozšírené zhromažďovanie forenzných údajov
• Manipulácia so súbormi
• Vykonávanie ľubovoľných príkazov
• Interakcia s konfiguračnými nastaveniami Kazuar

Krádež dát zostáva jednou z hlavných priorít pre Turla

Kazuar má schopnosť zbierať poverenia z rôznych artefaktov v napadnutom počítači, ktoré sa spúšťajú príkazmi ako 'steal' alebo 'unattend' prijatými zo servera Command-and-Control (C2). Tieto artefakty zahŕňajú množstvo známych cloudových aplikácií.

Okrem toho môže Kazuar zacieliť na citlivé súbory obsahujúce poverenia spojené s týmito aplikáciami. Medzi cielené artefakty patrí Git SCM (populárny systém riadenia zdrojov medzi vývojármi) a Signal (platforma na zašifrovanie správ pre súkromnú komunikáciu).

Po vytvorení jedinečného vlákna riešiteľa Kazuar automaticky spustí rozsiahlu úlohu profilovania systému, ktorú jej tvorcovia nazvali „first_systeminfo_do“. Táto úloha zahŕňa dôkladný zber a profilovanie cieľového systému. Kazuar zhromažďuje komplexné informácie o infikovanom počítači vrátane podrobností o operačnom systéme, hardvérových špecifikáciách a konfigurácii siete.

Zhromaždené údaje sú uložené v súbore „info.txt“, zatiaľ čo protokoly vykonávania sú uložené v súbore „logs.txt“. Okrem toho, ako súčasť tejto úlohy, malvér zachytí snímku obrazovky používateľa. Všetky zhromaždené súbory sú potom spojené do jedného archívu, zašifrované a odoslané do C2.

Kazuar zavádza viacero automatizovaných úloh na infikovaných zariadeniach

Kazuar má schopnosť zaviesť automatizované postupy, ktoré sa vykonávajú vo vopred definovaných intervaloch na účely získavania údajov z napadnutých systémov. Tieto automatizované úlohy zahŕňajú celý rad funkcií, vrátane zhromažďovania komplexných informácií o systéme, ako je podrobne uvedené v časti o komplexnom profilovaní systému, snímania snímok obrazovky, extrakcie poverení, získavania forenzných údajov, získavania údajov o automatickom spustení, získavania súborov z určených priečinkov, zostavovania zoznamu LNK súbory a krádeže e-mailov pomocou MAPI.

Tieto funkcie umožňujú spoločnosti Kazuar vykonávať systematický dohľad a extrakciu údajov z infikovaných počítačov, čím umožňujú zlovoľným aktérom množstvo citlivých informácií. Využitím týchto automatizovaných úloh Kazuar zefektívňuje proces prieskumu a exfiltrácie dát, čím zvyšuje jeho efektivitu ako nástroja na kybernetickú špionáž a zákerné aktivity.

Aktualizovaný malvér Kazuar je vybavený rozsiahlymi schopnosťami antianalýzy

Kazuar využíva rôzne sofistikované antianalytické techniky starostlivo navrhnuté tak, aby sa vyhli detekcii a kontrole. Kazuar, naprogramovaný jeho tvorcami, dynamicky upravuje svoje správanie na základe prítomnosti analytických aktivít. Keď Kazuar zistí, že neprebieha žiadna analýza, pokračuje vo svojich operáciách. Ak však zistí akýkoľvek náznak ladenia alebo analýzy, okamžite prejde do stavu nečinnosti a zastaví všetku komunikáciu so svojím serverom Command and Control (C2).

Antidumping

Vzhľadom na to, že Kazuar funguje ako vstrekovaný komponent v rámci iného procesu a nie ako autonómna entita, vynára sa perspektíva extrahovania jeho kódu z pamäte hostiteľského procesu. Aby zabránil tejto zraniteľnosti, Kazuar šikovne využíva robustnú funkciu v rámci .NET, System.Reflection Namespace. Táto schopnosť poskytuje Kazuaru agilitu pri získavaní metaúdajov týkajúcich sa jeho zostavy, metód dynamicky a iných kritických prvkov v reálnom čase, čím posilňuje jeho obranu proti potenciálnemu úsiliu o extrakciu kódu.

Okrem toho Kazuar implementuje obranné opatrenie tým, že kontroluje, či je povolené nastavenie antidump_methods. V takýchto prípadoch prepíše ukazovatele na svoje metódy na mieru, pričom neberie ohľad na generické metódy .NET a efektívne ich vymaže z pamäte. Ako dokazuje správa zaznamenaná spoločnosťou Kazuar, tento proaktívny prístup bráni výskumníkom extrahovať neporušenú verziu malvéru, čím sa zvyšuje jeho odolnosť voči analýze a detekcii.

Kontrola medovníka

Medzi svojimi počiatočnými úlohami Kazuar usilovne vyhľadáva akékoľvek známky artefaktov honeypotu na cieľovom stroji. Na dosiahnutie tohto cieľa odkazuje na preddefinovaný zoznam názvov procesov a názvov súborov, pričom využíva pevne zakódovaný prístup. Ak Kazuar narazí na viac ako päť inštancií týchto špecifikovaných súborov alebo procesov, okamžite zaznamená objav ako indikátor prítomnosti honeypotu.

Kontrola analytických nástrojov

Kazuar vedie zoznam preddefinovaných názvov reprezentujúcich rôzne široko používané analytické nástroje. Systematicky prehodnocuje zoznam v porovnaní s aktívnymi procesmi v systéme. Po zistení činnosti ktoréhokoľvek z týchto nástrojov Kazuar okamžite zaregistruje nález, čo naznačuje prítomnosť analytických nástrojov.

Kontrola karantény

Kazuar vlastní súbor vopred určených knižníc sandbox pevne zakódovaných do svojho systému. Vykonáva skenovanie s cieľom identifikovať konkrétne knižnice DLL spojené s rôznymi službami sandboxu. Po stretnutí s týmito súbormi Kazuar usúdi, že beží v laboratórnom prostredí, čo ho vyzve, aby zastavil svoju činnosť.

Monitor denníka udalostí

Kazuar systematicky zhromažďuje a interpretuje udalosti zaznamenané v protokoloch udalostí systému Windows. Špecificky sa zameriava na udalosti pochádzajúce od vybraných dodávateľov antimalvéru a zabezpečenia. Toto zámerné zameranie je v súlade s jej stratégiou monitorovania aktivít spojených so široko používanými bezpečnostnými produktmi za hodnoverného predpokladu, že tieto nástroje prevládajú medzi potenciálnymi cieľmi.

Kazuarský malvér naďalej predstavuje veľkú hrozbu v digitálnom priestore

Najnovší variant malvéru Kazuar, ktorý bol nedávno identifikovaný vo voľnej prírode, predstavuje niekoľko pozoruhodných atribútov. Zahŕňa robustné techniky zahmlievania kódu a reťazcov spolu s viacvláknovým modelom pre vyšší výkon. Okrem toho je implementovaný celý rad šifrovacích schém na ochranu kódu Kazuar pred analýzou a na ukrytie jeho údajov, či už v pamäti, počas prenosu alebo na disku. Tieto funkcie sa spoločne zameriavajú na poskytnutie kazuarských zadných vrátok zvýšenou úrovňou utajenia.

Okrem toho táto iterácia škodlivého softvéru vykazuje sofistikované antianalytické funkcie a rozsiahle možnosti profilovania systému. Pozoruhodné je jeho špecifické zacielenie na cloudové aplikácie. Okrem toho sa táto verzia Kazuar môže pochváliť podporou pre rozsiahlu škálu viac ako 40 rôznych príkazov, pričom polovica z nich predtým nebola zdokumentovaná výskumníkmi kybernetickej bezpečnosti.

Ako sa chrániť pred Kazuarom

Rovnako ako pri akejkoľvek hrozbe, hlavná vec, ktorú môžete urobiť na ochranu svojho počítača, je vyhnúť sa otváraniu e-mailových príloh a odkazov. Neinteragujte s e-mailom, ak neviete, odkiaľ prišiel. Nezabudnite tiež pravidelne zálohovať najdôležitejšie údaje. Pomáha aj viacnásobné zálohovanie, pretože čím viac záloh máte, tým vyššia je šanca, že sa veci vrátia do normálu v prípade Kazuaru alebo iného škodlivého softvéru.

V neposlednom rade sa chcete uistiť, že všetky vaše programy a aplikácie sú aktuálne. Nezabudnite príliš pravidelne aktualizovať operačný systém. Počítačovým hrozbám sa darí vďaka exploitom v operačných systémoch a softvéri, takže ich nenechajte otáľať.