Kazuar
Studiuesit kanë zbuluar një trojan të quajtur Kazuar. Kazuar u zbulua se ishte i lidhur me një fushatë spiunazhi dhe duket se ishte shkruar me Microsoft .NET Framework. Kazuar lejon sulmuesit të kenë akses të plotë në një sistem të komprometuar.
Kazuar ka disa funksione dhe komanda të mundshme, duke përfshirë aftësinë për të ngarkuar shtojcat nga distanca. Këto shtojca i japin Trojanit aftësi më të mëdha dhe e bëjnë atë më shumë një kërcënim. Kishte gjithashtu kod në llojin e vëzhguar që sugjeronte se kishte versione Linux dhe Mac të Kazuar atje në botë. Një gjë që bie në sy në lidhje me Kazuar është se ai funksionon përmes një ndërfaqeje programimi të aplikacionit (API) të lidhur me një server në internet dhe mund të jetë virusi i parë – dhe i vetmi – që vepron në këtë mënyrë.
Tabela e Përmbajtjes
Kush qëndron pas Kazuar?
Studiuesit besojnë se Kazuar është i lidhur me Turla , një grup APT (Advanced Persistent Threat), i njohur gjithashtu për të vepruar me emrat Snake dhe Uroburos . Turla është i njohur për aftësitë e tij të avancuara dhe për të qenë një grup i gjatë i kërcënimeve kibernetike me bazë në Rusi, me lidhje të supozuara me Shërbimin Federal të Sigurisë Ruse (FSB). Grupi synon me sulmet e tyre ambasadat, institucionet arsimore, kontraktorët e mbrojtjes dhe organizatat kërkimore. Turla ka diçka si një nënshkrim në kodin e tyre që identifikon mjetet si të tyret, dhe kodi i përdorur për Kazuar mund të gjurmohet të paktën në vitin 2005.
Turla ka përdorur një sërë mjetesh në kohën e tyre, shumica e të cilave janë vendosur në fazën e dytë të sulmeve brenda mjediseve të komprometuara. Kazuar mund të jetë një mënyrë e re që grupi Turla po trajton operacionet.
Çfarë bën Kazuar?
Kazuar është një Trojan Backdoor, i cili është një nga kategoritë më të mëdha të kërcënimeve dixhitale. Trojans Backdoor mund të jenë programe të shtrenjta dhe gjithëpërfshirëse me një sërë aftësish, ose mund të jenë programe të thjeshta që nuk bëjnë gjë tjetër veçse ping një server. Kazuar, në veçanti, i emërtuar për zogun kasovarë të Azisë Juglindore, është më shumë një trojan tradicional me dyer të pasme. Ndërsa Kazuar është relativisht bazë, ai ka disa veçori të fshehura që e bëjnë atë më shumë një kërcënim sesa trojanët tipikë me dyer të pasme si PowerStallion ose Neuron .
Kazuar niset për të shmangur zbulimin pasi hakerat e Turlës mbledhin inteligjencë nga objektivat e tyre. Edhe pse Kazuar është një aplikacion .NET Framework, ai gjithashtu ka veçori që e bëjnë atë të pajtueshëm me sistemet Mac dhe Unix/Linux. Megjithatë, deri më tani, vetëm variantet e Windows janë parë në natyrë.
Hidhini një sy kodit për Kazuar dhe do të shihni se sa punë është bërë për këtë virus. Kazuar ka një rutinë të përmirësuar të konfigurimit dhe është në gjendje të përshtatet me kompjuterët e cenueshëm duke vendosur këmbëngulje përmes një sërë metodash. Virusi krijon DLL dhe shfrytëzon shërbimet e Windows dhe funksionet .NET Framework për të qëndruar në një kompjuter. Pasi virusi të fillojë dhe të funksionojë, ai do t'i japë sulmuesit informacione për kompjuterin e synuar dhe do t'i lejojë ata të marrin kontrollin. Sulmuesit janë në gjendje të ngarkojnë skedarë, të marrin pamje nga ekrani, të aktivizojnë kamerat në internet, të kopjojnë të dhënat, të lëshojnë skedarë të ekzekutueshëm dhe të kryejnë detyra të tjera përmes moduleve opsionale.
Vlen të merret parasysh veçoria API. Viruset si ky lidhen kryesisht me serverët e komandës dhe kontrollit (serverët C2) dhe presin për udhëzime. Kazuar dallohet sepse mund të krijojë një server në internet që dëgjon gjithmonë që ndihmon virusin të shmangë muret e zjarrit dhe zbulimet kundër malware.
Si i infekton Kazuar kompjuterët?
Malware Kazuar infekton kompjuterët përmes disa metodave të ndryshme. Më të zakonshmet janë paketat e softuerëve me qëllim të keq, postat e padëshiruara të postës elektronike, ndarja e rrjetit, lidhjet me qëllim të keq dhe qasja në disqet flash të infektuara. Kazuar është e sigurt që do të shkaktojë një sasi të madhe dëmtimi sapo të futet në kompjuterin tuaj.
Viktimat kanë raportuar se duhet të përballen me dështimin e hard drive-it, përplasjet e shpeshta, aplikacionet e korruptuara dhe më shumë. Kjo nuk do të thotë asgjë për dëmin aktual që mund të bëjë për sa i përket humbjes financiare ose vjedhjes së identitetit. Ju duhet të ndërmerrni hapa për t'u mbrojtur nga Kazuar dhe për të hequr çdo infeksion sa më shpejt që të mundeni.
Me infektimin e një pajisjeje të synuar, malware Kazuar do të mblidhte disa informacione në lidhje me softuerin dhe harduerin e hostit të infektuar. Për më tepër, kërcënimi Kazuar do të gjeneronte një mutex unik të bazuar në ID-në serike të hard diskut dhe emrin e përdoruesit aktiv të përdoruesit. Ky hap i sulmit shërben për të zbuluar nëse ekzistojnë dy variante të malware Kazuar që funksionojnë në kompjuterin e infektuar. Pasi kjo të përfundojë, malware Kazuar do të vazhdojë me sulmin duke fituar këmbëngulje në host. Kjo arrihet duke modifikuar Regjistrin e Windows të sistemit. Më pas, malware Kazuar do të lidhej me serverin C&C (Command & Control) të operatorëve të tij dhe do të priste që t'i jepeshin komandat prej tyre. Ndër veçoritë kryesore të malware Kazuar janë:
- Marrja e pamjeve të ekranit të dritareve dhe desktopit aktiv të përdoruesit.
- Shkarkimi i skedarëve.
- Ngarkimi i skedarëve.
- Regjistrimi i pamjeve përmes kamerës së sistemit.
- Menaxhimi i proceseve të ekzekutimit.
- Ekzekutimi i komandave në distancë.
- Renditja dhe menaxhimi i shtojcave aktive të kërcënimit.
Kjo listë e gjatë e aftësive lejon që malware Kazuar të shkaktojë dëme të konsiderueshme në çdo sistem që arrin të depërtojë. Meqenëse ka të ngjarë që krijuesit e kërcënimit Kazuar të punojnë në një përsëritje të këtij malware të pajtueshëm me OSX, edhe më shumë përdorues do të jenë në rrezik. Për të mbrojtur sistemin tuaj nga dëmtuesit si kërcënimi Kazuar, sigurohuni që të shkarkoni dhe instaloni një paketë softuerësh të vërtetë kundër malware që do të kujdeset për sigurinë tuaj kibernetike dhe do t'i mbajë të dhënat tuaja të sigurta.
Turla vendos variantin e ri të Kazuar kundër objektivave në Ukrainë
Që nga zbulimi i tij fillestar në vitin 2017, Kazuar është shfaqur në mënyrë sporadike në natyrë, duke prekur kryesisht organizatat brenda sferave qeveritare dhe ushtarake evropiane. Lidhja e saj me derën e pasme të Sunburst , e dëshmuar nga ngjashmëritë e kodit, nënvizon natyrën e saj të sofistikuar. Ndërsa asnjë mostër e re Kazuar nuk është shfaqur që nga fundi i vitit 2020, raportet sugjeruan përpjekje të vazhdueshme zhvillimi në hije.
Analiza e kodit të përditësuar të Kazuar nxjerr në pah një përpjekje të bashkërenduar nga krijuesit e tij për të përmirësuar aftësitë e tij të fshehta, për të shmangur mekanizmat e zbulimit dhe për të penguar përpjekjet e analizës. Kjo arrihet përmes një sërë metodash të avancuara kundër analizës së bashku me teknikat e fuqishme të kriptimit dhe errësimit për të mbrojtur integritetin e kodit të malware.
Funksionaliteti kryesor i variantit të ri të malware Kazuar
Në mënyrë tipike Turla, Kazuar përdor një strategji të përdorimit të faqeve të internetit legjitime të rrëmbyera për infrastrukturën e saj të komandës dhe kontrollit (C2), duke shmangur kështu heqjet. Për më tepër, Kazuar lehtëson komunikimin përmes tubave të emërtuar, duke përdorur të dyja metodat për të marrë komanda ose detyra në distancë.
Kazuar krenohet me mbështetjen për 45 detyra të veçanta brenda kornizës së saj C2, duke përfaqësuar një përparim të dukshëm në funksionalitetin e tij në krahasim me versionet e mëparshme. Hulumtimet e mëparshme nuk kishin dokumentuar disa nga këto detyra. Në të kundërt, varianti fillestar i Kazuar i analizuar në vitin 2017 mbështeti vetëm 26 komanda C2.
Lista e komandave të njohura të Kazuar përfshin kategori të ndryshme, duke përfshirë:
- Mbledhja e të dhënave të hostit
- Mbledhja e zgjeruar e të dhënave mjeko-ligjore
- Manipulimi i skedarëve
- Ekzekutimi i komandave arbitrare
- Ndërveprim me cilësimet e konfigurimit të Kazuar
Vjedhja e të dhënave mbetet ndër prioritetet kryesore për Turlën
Kazuar zotëron aftësinë për të mbledhur kredencialet nga artefakte të ndryshme brenda kompjuterit të komprometuar, të shkaktuar nga komanda të tilla si 'vjedh' ose 'pambikëqyrur' të marra nga serveri Command-and-Control (C2). Këto artefakte përfshijnë shumë aplikacione të njohura të cloud.
Për më tepër, Kazuar mund të synojë skedarë të ndjeshëm që përmbajnë kredenciale të lidhura me këto aplikacione. Ndër objektet e synuara janë Git SCM (një sistem i njohur i kontrollit të burimit midis zhvilluesve) dhe Signal (një platformë e koduar mesazhesh për komunikim privat).
Me krijimin e një filli unik zgjidhës, Kazuar fillon automatikisht një detyrë të gjerë të profilizimit të sistemit, të quajtur 'first_systeminfo_do' nga krijuesit e saj. Kjo detyrë përfshin mbledhjen dhe profilizimin e plotë të sistemit të synuar. Kazuar mbledh informacion të plotë rreth makinës së infektuar, duke përfshirë detaje rreth sistemit operativ, specifikimeve të harduerit dhe konfigurimit të rrjetit.
Të dhënat e mbledhura ruhen në një skedar 'info.txt', ndërsa regjistrat e ekzekutimit ruhen në një skedar 'logs.txt'. Për më tepër, si pjesë e kësaj detyre, malware kap një pamje të ekranit të përdoruesit. Të gjithë skedarët e mbledhur më pas grumbullohen në një arkiv të vetëm, kodohen dhe dërgohen në C2.
Kazuar vendos detyra të shumëfishta të automatizuara në pajisjet e infektuara
Kazuar zotëron aftësinë për të vendosur procedura të automatizuara që ekzekutohen në intervale të paracaktuara me qëllim të marrjes së të dhënave nga sistemet e komprometuara. Këto detyra të automatizuara përfshijnë një sërë funksionesh, duke përfshirë mbledhjen e informacionit gjithëpërfshirës të sistemit siç detajohet në seksionin mbi Profilizimin Gjithëpërfshirës të Sistemit, kapjen e pamjeve të ekranit, nxjerrjen e kredencialeve, marrjen e të dhënave të mjekësisë ligjore, marrjen e të dhënave të ekzekutimit automatik, marrjen e skedarëve nga dosjet e caktuara, përpilimin e një liste Skedarët LNK dhe vjedhja e emaileve përmes përdorimit të MAPI.
Këto funksione i mundësojnë Kazuar të kryejë mbikëqyrje sistematike dhe nxjerrje të të dhënave nga makineritë e infektuara, duke fuqizuar aktorët keqdashës me një bollëk informacionesh delikate. Duke përdorur këto detyra të automatizuara, Kazuar riorganizon procesin e zbulimit dhe nxjerrjes së të dhënave, duke rritur efektivitetin e tij si një mjet për spiunazhin kibernetik dhe aktivitetin keqdashës.
Malware i përditësuar i Kazuar është i pajisur me aftësi të gjera kundër analizës
Kazuar përdor një sërë teknikash të sofistikuara anti-analitike të dizajnuara me përpikëri për të shmangur zbulimin dhe shqyrtimin. Programuar nga krijuesit e saj, Kazuar rregullon në mënyrë dinamike sjelljen e saj bazuar në praninë e aktiviteteve të analizës. Kur konstaton se nuk është duke u bërë asnjë analizë, Kazuar vazhdon me operacionet e saj. Megjithatë, nëse zbulon ndonjë tregues të korrigjimit ose analizës, ai menjëherë hyn në një gjendje të papunë, duke ndërprerë të gjithë komunikimin me serverin e tij Command and Control (C2).
Anti-Damping
Duke pasur parasysh se Kazuar funksionon si një komponent i injektuar brenda një procesi tjetër dhe jo si një entitet autonom, perspektiva e nxjerrjes së kodit të tij nga memoria e procesit pritës duket. Për të kundërshtuar këtë dobësi, Kazuar përdor me mjeshtëri një veçori të fuqishme brenda .NET, hapësirën e emrave System.Reflection. Kjo aftësi i jep Kazuar aftësinë për të rimarrë meta të dhënat që kanë të bëjnë me montimin e tij, metodat dinamike dhe elementë të tjerë kritikë në kohë reale, duke forcuar mbrojtjen e tij kundër përpjekjeve të mundshme për nxjerrjen e kodit.
Për më tepër, Kazuar zbaton një masë mbrojtëse duke shqyrtuar nëse cilësimi antidump_methods është i aktivizuar. Në raste të tilla, ai anashkalon treguesit për metodat e tij të personalizuara duke shpërfillur metodat e përgjithshme .NET, duke i fshirë ato në mënyrë efektive nga kujtesa. Siç dëshmohet nga mesazhi i regjistruar i Kazuar, kjo qasje proaktive shërben për të penguar kërkuesit nga nxjerrja e një versioni të paprekur të malware, duke rritur kështu qëndrueshmërinë e tij ndaj analizës dhe zbulimit.
Kontrollo Honeypot
Ndër detyrat e tij fillestare, Kazuar skanon me zell për ndonjë shenjë të artefakteve të honeypot në makinën e synuar. Për të arritur këtë, ai referon një listë të paracaktuar të emrave të proceseve dhe emrave të skedarëve, duke përdorur një qasje të koduar. Nëse Kazuar ndeshet me më shumë se pesë raste të këtyre skedarëve ose proceseve të specifikuara, ai e regjistron menjëherë zbulimin si tregues të një pranie honeypot.
Kontrolli i mjeteve të analizës
Kazuar mban një listë me emra të paracaktuar që përfaqësojnë mjete të ndryshme analize të përdorura gjerësisht. Ai rishikon sistematikisht listën kundrejt proceseve aktive në sistem. Me zbulimin e funksionimit të ndonjërit prej këtyre mjeteve, Kazuar regjistron menjëherë gjetjen, duke treguar praninë e mjeteve të analizës.
Kontrollo Sandbox
Kazuar posedon një grup bibliotekash të paracaktuara të sandbox të koduara në sistemin e saj. Ai kryen skanime për të identifikuar DLL specifike të lidhura me shërbime të ndryshme sandbox. Me t'u përballur me këto dosje, Kazuar arrin në përfundimin se ai po funksionon brenda një mjedisi laboratorik, duke e shtyrë atë të ndërpresë funksionimin.
Monitorimi i regjistrave të ngjarjeve
Kazuar mbledh sistematikisht dhe interpreton ngjarjet e regjistruara në regjistrat e ngjarjeve të Windows. Ai synon në mënyrë specifike ngjarjet që vijnë nga një përzgjedhje e shitësve anti-malware dhe sigurie. Ky fokus i qëllimshëm përputhet me strategjinë e tij të monitorimit të aktiviteteve të lidhura me produkte sigurie të përdorura gjerësisht nën supozimin e besueshëm se këto mjete janë të përhapura midis objektivave të mundshëm.
Malware Kazuar vazhdon të përfaqësojë një kërcënim të madh në hapësirën dixhitale
Varianti i fundit i malware Kazuar, i identifikuar së fundmi në natyrë, shfaq disa atribute të dukshme. Ai përfshin kode të forta dhe teknika të mjegullimit të vargjeve së bashku me një model me shumë fije për performancë të përmirësuar. Për më tepër, një sërë skemash kriptimi zbatohet për të mbrojtur kodin e Kazuar nga analiza dhe për të fshehur të dhënat e tij, qoftë në memorie, gjatë transmetimit ose në disk. Këto veçori synojnë së bashku t'i japin derës së pasme Kazuar një nivel më të lartë të fshehtësisë.
Për më tepër, ky përsëritje i malware shfaq funksione të sofistikuara kundër analizës dhe aftësi të gjera të profilizimit të sistemit. Vlen të përmendet synimi i tij specifik i aplikacioneve cloud. Për më tepër, ky version i Kazuar krenohet me mbështetjen për një grup të gjerë prej mbi 40 komandash të dallueshme, me gjysmën e tyre të padokumentuara më parë nga studiues të sigurisë kibernetike.
Si të mbrohemi nga Kazuar
Ashtu si me çdo lloj kërcënimi, gjëja kryesore që mund të bëni për të mbrojtur kompjuterin tuaj është të shmangni hapjen e bashkëngjitjeve dhe lidhjeve të postës elektronike. Mos ndërvepro me emailin nëse nuk e di se nga ka ardhur. Gjithashtu, sigurohuni që të kopjoni rregullisht të dhënat tuaja më të rëndësishme. Ndihmon gjithashtu të kesh kopje rezervë të shumëfishtë, pasi sa më shumë kopje rezervë të kesh, aq më të larta janë shanset për t'i rikthyer gjërat në normalitet në rast të Kazuar ose një malware tjetër.
E fundit, por jo më pak e rëndësishme, ju dëshironi të siguroheni që të gjitha programet dhe aplikacionet tuaja të jenë të përditësuara. Mos harroni të përditësoni shumë rregullisht sistemin tuaj operativ. Kërcënimet kompjuterike lulëzojnë përmes shfrytëzimeve në sistemet operative dhe softuerët, ndaj mos i lini të zgjaten.
