Multi-License Discount Quote
Hotdatabas Backdoors Kazuar

Kazuar

Med GoldSparrow år Backdoors
Översätt till:
Svenska

Forskare har upptäckt en bakdörrstrojan som heter Kazuar. Kazuar visade sig vara kopplad till en spionagekampanj och verkar vara skriven med Microsoft .NET Framework. Kazuar tillåter angripare att få fullständig tillgång till ett äventyrat system.

Kazuar har flera potentiella funktioner och kommandon, inklusive möjligheten att ladda plugins på distans. Dessa plugins ger trojanen större möjligheter och gör den mer av ett hot. Det fanns också kod i den observerade stammen som antydde att det fanns Linux- och Mac-versioner av Kazuar där ute i världen. En sak som sticker ut med Kazuar är att den fungerar via ett Application Programming Interface (API) kopplat till en webbserver, och det kan vara det första – och enda – viruset som agerar på ett sådant sätt.

Vem är bakom Kazuar?

Forskare tror att Kazuar är kopplad till Turla , en APT-grupp (Advanced Persistent Threat), även känd för att fungera under namnen Snake och Uroburos . Turla är känt för sina avancerade kapaciteter och för att vara en långvarig ryskbaserad cyberhotgrupp med påstådda kopplingar till den ryska federala säkerhetstjänsten (FSB). Gruppen riktar sig till ambassader, utbildningsinstitutioner, försvarsentreprenörer och forskningsorganisationer med sina attacker. Turla har något av en signatur i sin kod som identifierar verktyg som deras, och koden som används för Kazuar kan åtminstone spåras tillbaka till 2005.

Turla har använt ett antal verktyg under sin tid, varav de flesta är utplacerade i det andra steget av attacker i komprometterade miljöer. Kazuar kan vara ett nytt sätt för Turla-gruppen att hantera verksamheten.

Vad gör Kazuar?

Kazuar är en bakdörrstrojan, som är en av de största kategorierna av digitala hot. Bakdörrstrojaner kan vara dyra och omfattande program med en rad funktioner, eller så kan de vara enkla program som inte gör något annat än att pinga en server. Kazuar, i synnerhet, uppkallad efter kasuarfågeln i Sydostasien, är mer av en traditionell bakdörrstrojan. Även om Kazuar är relativt grundläggande, har den några dolda funktioner som gör det mer av ett hot än typiska bakdörrstrojaner som PowerStallion eller Neuron .

Kazuar försöker undvika att bli upptäckt när Turla-hackare samlar in intelligens från sina mål. Även om Kazuar är en .NET Framework-applikation har den också funktioner som gör den kompatibel med Mac- och Unix/Linux-system. Hittills har dock bara Windows-varianter setts i det vilda.

Ta en titt på koden för Kazuar så ser du hur mycket arbete som lades ner på detta virus. Kazuar har en förbättrad installationsrutin och kan anpassa sig till sårbara datorer genom att etablera uthållighet genom ett antal metoder. Viruset skapar DLL-filer och utnyttjar Windows-tjänster och .NET Framework-funktioner för att stanna kvar på en dator. När viruset väl är igång kommer det att ge angriparen information om måldatorn och låta dem ta kontroll. Angripare kan ladda upp filer, ta skärmdumpar, aktivera webbkameror, kopiera data, starta körbara filer och utföra andra uppgifter genom valfria moduler.

Det är värt att notera API-funktionen. Virus som detta ansluter i första hand till Command and Control-servrar (C2-servrar) och väntar på instruktioner. Kazuar sticker ut eftersom det kan skapa en alltid lyssnande webbserver som hjälper viruset att undvika brandväggar och upptäckter mot skadlig programvara.

Hur infekterar Kazuar datorer?

Kazuar skadlig programvara infekterar datorer genom flera olika metoder. De vanligaste är paket med skadlig programvara, e-postskräp, nätverksdelning, skadliga länkar och åtkomst till infekterade flashenheter. Kazuar kommer säkerligen att orsaka en enorm mängd skada när den väl kommer in på din dator.

Offren har rapporterat att de måste ta itu med hårddiskfel, frekventa krascher, korrupta applikationer och mer. Det vill inte säga någonting om den faktiska skada det kan göra i form av ekonomisk förlust eller identitetsstöld. Du bör vidta åtgärder för att skydda dig mot Kazuar och ta bort alla infektioner så snart du kan.

Vid infektering av en riktad enhet, samlar Kazuar skadlig programvara in viss information om programvaran och hårdvaran för den infekterade värden. Dessutom skulle Kazuar-hotet generera en unik mutex baserat på hårddiskens seriella ID och den aktiva användarens användarnamn. Detta steg av attacken tjänar till att upptäcka om det finns två varianter av Kazuar skadlig programvara som körs på den infekterade datorn. När detta är klart kommer Kazuar skadlig programvara att fortsätta med attacken genom att få uthållighet på värden. Detta uppnås genom att modifiera systemets Windows-register. Därefter skulle Kazuar malware ansluta till C&C-servern (Command & Control) hos dess operatörer och vänta på att få kommandon från dem. Bland huvudfunktionerna i Kazuar malware är:

  • Ta skärmdumpar av användarens aktiva fönster och skrivbord.
  • Laddar ner filer.
  • Laddar upp filer.
  • Spela in bilder via systemets kamera.
  • Hantera pågående processer.
  • Utför fjärrkommandon.
  • Lista och hantera aktiva plugins för hotet.
  • Uppdaterar sig själv och dess lista över C&C-servrar.
  • Självförstörande.

    • Denna långa lista med funktioner gör att Kazuar skadlig programvara kan orsaka betydande skada på alla system som den lyckas infiltrera. Eftersom det är troligt att skaparna av Kazuar-hotet arbetar på en OSX-kompatibel iteration av denna skadliga programvara, kommer ännu fler användare att vara i riskzonen. För att skydda ditt system från skadedjur som Kazuar-hotet, se till att ladda ner och installera en äkta anti-malware-programsvit som tar hand om din cybersäkerhet och håller din data säker.

    Turla distribuerar ny Kazuar-variant mot mål i Ukraina

    Sedan den första upptäckten 2017 har Kazuar dykt upp sporadiskt i det vilda och främst påverkat organisationer inom europeiska regerings- och militära sfärer. Dess koppling till Sunburst- bakdörren, bevisad av kodlikheter, understryker dess sofistikerade natur. Även om inga nya Kazuar-prover har dykt upp sedan slutet av 2020, antydde rapporter pågående utvecklingsinsatser i skuggan.

    Analys av den uppdaterade Kazuar-koden belyser en samlad ansträngning från dess skapare för att förbättra dess smygförmåga, undvika upptäcktsmekanismer och omintetgöra analyssträvanden. Detta uppnås genom en rad avancerade antianalysmetoder i kombination med robusta kryptering och fördunklingstekniker för att skydda integriteten hos skadlig kod.

    Kärnfunktionaliteten i den nya Kazuar Malware-varianten

    På typiskt Turla-sätt använder Kazuar en strategi för att använda kapade legitima webbplatser för sin Command and Control (C2)-infrastruktur och på så sätt undvika borttagningar. Dessutom underlättar Kazuar kommunikation över namngivna rör, och använder båda metoderna för att ta emot fjärrkommandon eller uppgifter.

    Kazuar har stöd för 45 distinkta uppgifter inom sitt C2-ramverk, vilket representerar ett anmärkningsvärt framsteg i dess funktionalitet jämfört med tidigare versioner. Tidigare forskning hade inte dokumenterat vissa av dessa uppgifter. Däremot stödde den första varianten av Kazuar som analyserades 2017 endast 26 C2-kommandon.

    Kazuars lista över erkända kommandon spänner över olika kategorier, inklusive:

    • Värddatainsamling
    • Utökad kriminalteknisk datainsamling
    • Filmanipulation
    • Utförande av godtyckliga kommandon
    • Interagerar med Kazuars konfigurationsinställningar
  • Fråga och manipulera Windows-registret
  • Utförande av skript (VBS, PowerShell, JavaScript)
  • Skickar anpassade nätverksförfrågningar
  • Stöld av inloggningsuppgifter och känslig information

    • Datastöld är fortfarande bland de högsta prioriteringarna för Turla

    Kazuar har förmågan att samla in autentiseringsuppgifter från olika artefakter i den komprometterade datorn, utlösta av kommandon som "stjäla" eller "obevakad" som tas emot från Command-and-Control-servern (C2). Dessa artefakter omfattar många välkända molnapplikationer.

    Dessutom kan Kazuar rikta in sig på känsliga filer som innehåller referenser som är associerade med dessa applikationer. Bland de riktade artefakterna finns Git SCM (ett populärt källkontrollsystem bland utvecklare) och Signal (en krypterad meddelandeplattform för privat kommunikation).

    Efter att ha skapat en unik lösningstråd, initierar Kazuar automatiskt en omfattande systemprofileringsuppgift, kallad "first_systeminfo_do" av dess skapare. Denna uppgift innebär en grundlig insamling och profilering av det riktade systemet. Kazuar samlar in omfattande information om den infekterade maskinen, inklusive detaljer om operativsystemet, hårdvaruspecifikationer och nätverkskonfiguration.

    Data som samlas in lagras i en 'info.txt'-fil, medan exekveringsloggar sparas i en 'logs.txt'-fil. Dessutom, som en del av denna uppgift, fångar skadlig programvara en skärmdump av användarens skärm. Alla insamlade filer samlas sedan i ett enda arkiv, krypteras och skickas till C2.

    Kazuar etablerar flera automatiska uppgifter på de infekterade enheterna

    Kazuar har förmågan att upprätta automatiserade procedurer som körs med fördefinierade intervall i syfte att hämta data från komprometterade system. Dessa automatiserade uppgifter omfattar en rad funktioner, inklusive att samla in omfattande systeminformation enligt beskrivningen i avsnittet om omfattande systemprofilering, ta skärmdumpar, extrahera referenser, hämta kriminaltekniska data, skaffa automatisk körningsdata, hämta filer från utsedda mappar, sammanställa en lista med LNK-filer och snattande av e-postmeddelanden genom användning av MAPI.

    Dessa funktioner gör det möjligt för Kazuar att utföra systematisk övervakning och dataextraktion från infekterade maskiner, vilket ger illvilliga aktörer en uppsjö av känslig information. Genom att utnyttja dessa automatiserade uppgifter effektiviserar Kazuar processen för spaning och dataexfiltrering, vilket förbättrar dess effektivitet som ett verktyg för cyberspionage och skadlig aktivitet.

    Den uppdaterade Kazuar Malware är utrustad med omfattande anti-analysfunktioner

    Kazuar använder en mängd olika sofistikerade antianalystekniker noggrant utformade för att undvika upptäckt och granskning. Kazuar har programmerat av dess skapare och justerar dynamiskt sitt beteende baserat på närvaron av analysaktiviteter. När Kazuar fastställer att ingen analys är på gång, fortsätter Kazuar med sin verksamhet. Men om den upptäcker någon indikation på felsökning eller analys går den omedelbart in i ett viloläge, vilket stoppar all kommunikation med dess Command and Control-server (C2).

    Antidumpning

    Med tanke på att Kazuar fungerar som en injicerad komponent i en annan process snarare än som en självständig enhet, skymtar utsikten att extrahera dess kod från värdprocessens minne. För att motverka denna sårbarhet använder Kazuar skickligt en robust funktion inom .NET, System.Reflection Namespace. Denna förmåga ger Kazuar smidigheten att hämta metadata som hänför sig till dess sammansättning, metoder dynamiskt och andra kritiska element i realtid, vilket stärker dess försvar mot potentiella kodextraktionssträvanden.

    Dessutom implementerar Kazuar en defensiv åtgärd genom att granska om inställningen antidump_methods är aktiverad. I sådana fall åsidosätter den pekare till dess skräddarsydda metoder samtidigt som den bortser från generiska .NET-metoder och raderar dem effektivt från minnet. Som framgår av Kazuars loggade meddelande tjänar detta proaktiva tillvägagångssätt till att hindra forskare från att extrahera en intakt version av skadlig programvara, och därigenom förbättra dess motståndskraft mot analys och upptäckt.

    Honeypot Check

    Bland de första uppgifterna söker Kazuar flitigt efter tecken på artefakter med honungskruka på målmaskinen. För att åstadkomma detta refererar den till en fördefinierad lista med processnamn och filnamn, med en hårdkodad metod. Skulle Kazuar stöta på mer än fem instanser av dessa specificerade filer eller processer, registrerar den omedelbart upptäckten som en indikation på en honeypot-närvaro.

    Analysverktyg Kontrollera

    Kazuar har en lista med fördefinierade namn som representerar olika mycket använda analysverktyg. Den granskar systematiskt listan mot de aktiva processerna i systemet. När Kazuar detekterar funktionen hos något av dessa verktyg, registrerar Kazuar omedelbart fyndet, vilket indikerar närvaron av analysverktyg.

    Sandbox Check

    Kazuar har en uppsättning förutbestämda sandlådebibliotek hårdkodade i sitt system. Den genomför skanningar för att identifiera specifika DLL-filer som är associerade med olika sandlådetjänster. När Kazuar stöter på dessa filer drar slutsatsen att den körs i en laboratoriemiljö, vilket får den att upphöra med sin verksamhet.

    Händelseloggövervakning

    Kazuar samlar systematiskt in och tolkar händelser som registrerats i Windows händelseloggar. Den riktar sig specifikt mot händelser som kommer från ett urval av anti-malware- och säkerhetsleverantörer. Detta avsiktliga fokus ligger i linje med dess strategi att övervaka aktiviteter som är förknippade med allmänt använda säkerhetsprodukter under det rimliga antagandet att dessa verktyg är vanliga bland potentiella mål.

    Kazuar Malware fortsätter att representera ett stort hot i det digitala rummet

    Den senaste varianten av Kazuar skadlig kod, som nyligen identifierats i naturen, visar upp flera anmärkningsvärda egenskaper. Den innehåller robust kod- och strängobfuskeringsteknik tillsammans med en flertrådad modell för förbättrad prestanda. Dessutom implementeras en rad krypteringsscheman för att skydda Kazuars kod från analys och för att dölja dess data, vare sig det är i minnet, under överföringen eller på disken. Dessa funktioner syftar tillsammans till att ge Kazuars bakdörr en ökad smygnivå.

    Dessutom uppvisar denna iteration av skadlig programvara sofistikerade antianalysfunktioner och omfattande systemprofileringsmöjligheter. Dess specifika inriktning på molnapplikationer är anmärkningsvärd. Dessutom har den här versionen av Kazuar stöd för ett omfattande utbud av över 40 distinkta kommandon, varav hälften av dem tidigare odokumenterade av cybersäkerhetsforskare.

    Hur man skyddar mot Kazuar

    Som med alla typer av hot är det viktigaste du kan göra för att skydda din dator att undvika att öppna e-postbilagor och länkar. Interagera inte med e-postmeddelandet om du inte vet var det kommer ifrån. Se också till att säkerhetskopiera dina viktigaste data regelbundet. Det hjälper också att ha flera säkerhetskopior, eftersom ju fler säkerhetskopior du har, desto högre är dina chanser att få saker tillbaka till det normala i händelse av Kazuar eller annan skadlig kod.

    Sist men inte minst vill du se till att alla dina program och applikationer är uppdaterade. Glöm inte att uppdatera ditt operativsystem för regelbundet. Datorhot frodas genom utnyttjande av operativsystem och programvara, så låt dem inte dröja kvar.

    Trendigt

    Mest sedda

    Läser in...