Kazuar
Natuklasan ng mga mananaliksik ang isang backdoor Trojan na tinatawag na Kazuar. Napag-alamang naka-link si Kazuar sa isang espionage campaign at mukhang nakasulat sa Microsoft .NET Framework. Pinapayagan ng Kazuar ang mga umaatake na makakuha ng kumpletong access sa isang nakompromisong system.
May ilang potensyal na function at command ang Kazuar, kabilang ang kakayahang mag-load ng mga plugin nang malayuan. Ang mga plugin na ito ay nagbibigay sa Trojan ng mas malaking kakayahan at ginagawa itong higit na banta. Mayroon ding code sa naobserbahang strain na nagmungkahi na mayroong Linux at Mac na mga bersyon ng Kazuar doon sa mundo. Ang isang bagay na kapansin-pansin tungkol sa Kazuar ay gumagana ito sa pamamagitan ng isang Application Programming Interface (API) na konektado sa isang web server, at maaaring ito ang una - at tanging - virus na kumilos sa ganoong paraan.
Talaan ng mga Nilalaman
Sino ang Nasa Likod ni Kazuar?
Naniniwala ang mga mananaliksik na ang Kazuar ay naka-link sa Turla , isang APT (Advanced Persistent Threat) na grupo, na kilala rin na nagpapatakbo sa ilalim ng mga pangalang Snake at Uroburos . Kilala ang Turla sa mga advanced na kakayahan nito at pagiging isang matagal nang Russian-based na cyber threat group na may di-umano'y kaugnayan sa Russian Federal Security Service (FSB). Tina-target ng grupo ang mga embahada, institusyong pang-edukasyon, mga kontratista sa pagtatanggol, at mga organisasyon ng pananaliksik sa kanilang mga pag-atake. Ang Turla ay may isang pirma sa kanilang code na nagpapakilala sa mga tool bilang kanila, at ang code na ginamit para sa Kazuar ay maaaring masubaybayan pabalik sa 2005, hindi bababa sa.
Gumamit si Turla ng ilang tool sa kanilang panahon, karamihan sa mga ito ay na-deploy sa ikalawang yugto ng mga pag-atake sa loob ng mga nakompromisong kapaligiran. Ang Kazuar ay maaaring isang bagong paraan ng paghawak ng mga operasyon ng Turla group.
Ano ang Ginagawa ni Kazuar?
Ang Kazuar ay isang backdoor Trojan, na isa sa pinakamalaking kategorya ng mga digital na banta. Ang mga Backdoor Trojan ay maaaring maging mahal at komprehensibong mga programa na may hanay ng mga kakayahan, o maaari silang mga simpleng program na walang ginagawa kundi mag-ping sa isang server. Ang Kazuar, sa partikular, na pinangalanan para sa cassowary bird ng Southeast Asia, ay higit pa sa isang tradisyonal na backdoor Trojan. Bagama't medyo basic ang Kazuar, mayroon itong ilang mga nakatagong feature na ginagawa itong mas banta kaysa sa mga tipikal na backdoor Trojan tulad ng PowerStallion o Neuron .
Itinakda ni Kazuar na iwasang ma-detect habang ang mga hacker ng Turla ay kumukuha ng katalinuhan mula sa kanilang mga target. Kahit na ang Kazuar ay isang .NET Framework application, mayroon din itong mga feature na ginagawa itong tugma sa Mac at Unix/Linux system. Sa ngayon, gayunpaman, ang mga variant ng Windows lamang ang nakita sa ligaw.
Tingnan ang code para sa Kazuar, at makikita mo kung gaano karaming trabaho ang inilagay sa virus na ito. Ang Kazuar ay may pinahusay na gawain sa pag-setup at nagagawang umangkop sa mga mahihinang computer sa pamamagitan ng pagtatatag ng pagtitiyaga sa pamamagitan ng ilang mga pamamaraan. Lumilikha ang virus ng mga DLL at sinasamantala ang mga serbisyo ng Windows at mga function ng .NET Framework upang manatili sa isang computer. Kapag gumagana na ang virus, bibigyan nito ang umaatake ng impormasyon tungkol sa target na computer at hahayaan silang kontrolin. Nagagawa ng mga attacker na mag-upload ng mga file, kumuha ng mga screenshot, i-activate ang mga webcam, kopyahin ang data, maglunsad ng mga executable na file, at magsagawa ng iba pang mga gawain sa pamamagitan ng mga opsyonal na module.
Ito ay nagkakahalaga ng pagpuna sa tampok na API. Pangunahing kumonekta ang mga virus na tulad nito sa mga Command and Control server (C2 server) at naghihintay ng mga tagubilin. Namumukod-tangi ang Kazuar dahil maaari itong lumikha ng palaging nakikinig na Web server na tumutulong sa virus na maiwasan ang mga firewall at anti-malware detection.
Paano Nakakahawa ang Kazuar sa mga Computer?
Ang Kazuar malware ay nakakahawa sa mga computer sa pamamagitan ng iba't ibang paraan. Ang pinakakaraniwan ay ang mga nakakahamak na bundle ng software, email spam, pagbabahagi ng network, mga nakakahamak na link, at pag-access sa mga nahawaang flash drive. Siguradong magdudulot ng malaking pinsala ang Kazuar kapag napunta ito sa iyong computer.
Iniulat ng mga biktima na kailangang harapin ang pagkabigo ng hard drive, madalas na pag-crash, mga sirang application, at higit pa. Iyon ay walang sasabihin tungkol sa aktwal na pinsalang maaaring gawin nito sa mga tuntunin ng pagkawala ng pananalapi o pagnanakaw ng pagkakakilanlan. Dapat kang gumawa ng mga hakbang upang protektahan ang iyong sarili laban sa Kazuar at alisin ang anumang impeksyon sa lalong madaling panahon.
Kapag na-infect ang isang naka-target na device, ang Kazuar malware ay mangongolekta ng ilang impormasyon tungkol sa software at hardware ng infected na host. Higit pa rito, ang banta ng Kazuar ay bubuo ng natatanging mutex batay sa serial ID ng hard disk at username ng aktibong user. Ang hakbang na ito ng pag-atake ay nagsisilbi upang makita kung mayroong dalawang variant ng Kazuar malware na tumatakbo sa nahawaang computer. Kapag nakumpleto na ito, ang Kazuar malware ay magpapatuloy sa pag-atake sa pamamagitan ng pagkakaroon ng pagtitiyaga sa host. Ito ay nakakamit sa pamamagitan ng pagbabago sa Windows Registry ng system. Susunod, ang Kazuar malware ay kumonekta sa C&C (Command & Control) server ng mga operator nito at maghihintay na bigyan sila ng mga utos. Kabilang sa mga pangunahing tampok ng Kazuar malware ay:
- Pagkuha ng mga screenshot ng mga aktibong window at desktop ng user.
- Nagda-download ng mga file.
- Nag-a-upload ng mga file.
- Pagre-record ng footage sa pamamagitan ng camera ng system.
- Pamamahala ng mga tumatakbong proseso.
- Pagpapatupad ng mga malayuang utos.
- Paglista at pamamahala ng mga aktibong plugin ng pagbabanta.
Ang mahabang listahan ng mga kakayahan na ito ay nagbibigay-daan sa Kazuar malware na magdulot ng malaking pinsala sa anumang system na pinamamahalaan nitong makalusot. Dahil malamang na ang mga tagalikha ng banta ng Kazuar ay gumagawa ng isang OSX-compatible na pag-ulit ng malware na ito, mas maraming user ang nasa panganib. Upang maprotektahan ang iyong system mula sa mga peste tulad ng banta ng Kazuar, tiyaking mag-download at mag-install ng isang tunay na anti-malware software suite na mag-iingat sa iyong cybersecurity at panatilihing ligtas ang iyong data.
Nag-deploy si Turla ng Bagong Kazuar Variant laban sa mga Target sa Ukraine
Mula noong unang pagtuklas nito noong 2017, paminsan-minsang lumitaw ang Kazuar sa ligaw, na pangunahing nakakaapekto sa mga organisasyon sa loob ng European governmental at military sphere. Ang koneksyon nito sa Sunburst backdoor, na pinatunayan ng pagkakatulad ng code, ay binibigyang-diin ang pagiging sopistikado nito. Bagama't walang mga bagong sample ng Kazuar na lumitaw mula noong huling bahagi ng 2020, ang mga ulat ay nagmungkahi ng patuloy na mga pagsisikap sa pag-unlad sa mga anino.
Ang pagsusuri sa na-update na Kazuar code ay nagha-highlight ng sama-samang pagsisikap ng mga tagalikha nito upang mapahusay ang mga kakayahan nito sa pagnanakaw, maiwasan ang mga mekanismo ng pagtuklas, at hadlangan ang mga pagsusumikap sa pagsusuri. Ito ay nakakamit sa pamamagitan ng isang hanay ng mga advanced na anti-analysis na pamamaraan kasama ng mahusay na pag-encrypt at obfuscation na mga diskarte upang pangalagaan ang integridad ng malware code.
Ang Pangunahing Pag-andar ng Bagong Kazuar Malware Variant
Sa karaniwang Turla fashion, gumagamit si Kazuar ng diskarte sa paggamit ng mga na-hijack na lehitimong website para sa Command and Control (C2) na imprastraktura nito, kaya naiiwasan ang mga takedown. Bukod pa rito, pinapadali ng Kazuar ang komunikasyon sa mga pinangalanang pipe, na ginagamit ang parehong paraan upang makatanggap ng mga remote na command o gawain.
Ipinagmamalaki ng Kazuar ang suporta para sa 45 natatanging gawain sa loob ng balangkas ng C2 nito, na kumakatawan sa isang kapansin-pansing pagsulong sa paggana nito kumpara sa mga naunang bersyon. Ang nakaraang pananaliksik ay hindi naitala ang ilan sa mga gawaing ito. Sa kabaligtaran, ang paunang variant ng Kazuar na nasuri noong 2017 ay sumusuporta lamang sa 26 na C2 na utos.
Ang listahan ng mga kinikilalang command ni Kazuar ay sumasaklaw sa iba't ibang kategorya, kabilang ang:
- Pangongolekta ng data ng host
- Pinalawak na pangangalap ng data ng forensic
- Pagmamanipula ng file
- Pagpapatupad ng mga arbitrary na utos
- Nakikipag-ugnayan sa mga setting ng pagsasaayos ni Kazuar
Ang Pagnanakaw ng Data ay Nananatili sa Mga Nangungunang Priyoridad para sa Turla
Ang Kazuar ay nagtataglay ng kakayahang mag-ani ng mga kredensyal mula sa iba't ibang artifact sa loob ng nakompromisong computer, na na-trigger ng mga utos tulad ng 'magnakaw' o 'walang pag-aalaga' na natanggap mula sa Command-and-Control (C2) server. Ang mga artifact na ito ay sumasaklaw sa maraming kilalang cloud application.
Higit pa rito, maaaring i-target ng Kazuar ang mga sensitibong file na naglalaman ng mga kredensyal na nauugnay sa mga application na ito. Kabilang sa mga naka-target na artifact ay ang Git SCM (isang sikat na source control system sa mga developer) at Signal (isang naka-encrypt na messaging platform para sa pribadong komunikasyon).
Sa pagkakaroon ng natatanging solver thread, awtomatikong sinisimulan ni Kazuar ang isang malawak na gawain sa pag-profile ng system, na tinawag na 'first_systeminfo_do' ng mga tagalikha nito. Ang gawaing ito ay nangangailangan ng masusing pagkolekta at pag-profile ng naka-target na sistema. Ang Kazuar ay nangangalap ng komprehensibong impormasyon tungkol sa nahawaang makina, kabilang ang mga detalye tungkol sa operating system, mga detalye ng hardware, at configuration ng network.
Ang data na nakolekta ay naka-imbak sa isang 'info.txt' file, habang ang mga execution log ay naka-save sa isang 'logs.txt' file. Bukod pa rito, bilang bahagi ng gawaing ito, kumukuha ang malware ng screenshot ng screen ng user. Ang lahat ng nakolektang file ay isasama sa iisang archive, naka-encrypt, at ipinadala sa C2.
Nagtatag si Kazuar ng Maramihang Mga Automated na Gawain sa Mga Infected na Device
Ang Kazuar ay nagtataglay ng kakayahang magtatag ng mga automated na pamamaraan na isinasagawa sa mga paunang natukoy na pagitan para sa layunin ng pagkuha ng data mula sa mga nakompromisong system. Ang mga awtomatikong gawaing ito ay sumasaklaw sa isang hanay ng mga function, kabilang ang pangangalap ng komprehensibong impormasyon ng system na nakadetalye sa seksyon ng Comprehensive System Profiling, pagkuha ng mga screenshot, pagkuha ng mga kredensyal, pagkuha ng data ng forensics, pagkuha ng auto-runs na data, pagkuha ng mga file mula sa mga itinalagang folder, pag-compile ng isang listahan ng LNK file, at pagnanakaw ng mga email sa pamamagitan ng paggamit ng MAPI.
Ang mga pag-andar na ito ay nagbibigay-daan sa Kazuar na magsagawa ng sistematikong pagsubaybay at pagkuha ng data mula sa mga nahawaang makina, na nagbibigay ng kapangyarihan sa mga malisyosong aktor na may napakaraming sensitibong impormasyon. Sa pamamagitan ng paggamit sa mga automated na gawaing ito, pinapahusay ng Kazuar ang proseso ng reconnaissance at data exfiltration, na nagpapahusay sa pagiging epektibo nito bilang isang tool para sa cyber espionage at malisyosong aktibidad.
Ang Na-update na Kazuar Malware ay Nilagyan ng Malawak na Anti-Analysis Capabilities
Gumagamit ang Kazuar ng iba't ibang mga sopistikadong diskarte sa anti-analysis na maingat na idinisenyo upang maiwasan ang pagtuklas at pagsisiyasat. Na-program ng mga tagalikha nito, dynamic na inaayos ng Kazuar ang pag-uugali nito batay sa pagkakaroon ng mga aktibidad sa pagsusuri. Kapag natukoy nito na walang isinasagawang pagsusuri, nagpapatuloy ang Kazuar sa mga operasyon nito. Gayunpaman, kung makakita ito ng anumang indikasyon ng pag-debug o pagsusuri, agad itong pumapasok sa isang idle state, na humihinto sa lahat ng komunikasyon sa Command and Control (C2) server nito.
Anti-Dumping
Dahil ang Kazuar ay gumagana bilang isang injected component sa loob ng isa pang proseso sa halip na bilang isang autonomous entity, ang pag-asam ng pagkuha ng code nito mula sa memorya ng proseso ng host ay lumalabas. Upang malabanan ang kahinaang ito, mahusay na ginagamit ni Kazuar ang isang matatag na tampok sa loob ng .NET, ang System.Reflection Namespace. Ang kakayahang ito ay nagbibigay sa Kazuar ng liksi upang kunin ang metadata na nauukol sa pagpupulong nito, mga pamamaraan nang pabago-bago, at iba pang kritikal na elemento sa real-time, na nagpapatibay sa mga depensa nito laban sa mga potensyal na pagsusumikap sa pagkuha ng code.
Bukod pa rito, nagpapatupad ang Kazuar ng isang pagtatanggol na panukala sa pamamagitan ng pagsusuri kung ang setting ng antidump_methods ay pinagana. Sa ganitong mga kaso, ino-override nito ang mga pointer sa mga pasadyang pamamaraan nito habang binabalewala ang mga generic na pamamaraan ng .NET, na epektibong binubura ang mga ito sa memorya. Bilang ebidensya ng naka-log na mensahe ni Kazuar, ang proactive na diskarte na ito ay nagsisilbing hadlangan ang mga mananaliksik mula sa pagkuha ng isang buo na bersyon ng malware, at sa gayo'y pinapahusay ang katatagan nito laban sa pagsusuri at pagtuklas.
Honeypot Check
Kabilang sa mga paunang gawain nito, masigasig na sinusuri ni Kazuar ang anumang mga palatandaan ng mga artifact ng honeypot sa target na makina. Upang magawa ito, tinutukoy nito ang isang paunang natukoy na listahan ng mga pangalan ng proseso at mga filename, na gumagamit ng isang hardcoded na diskarte. Sakaling makatagpo ang Kazuar ng higit sa limang pagkakataon ng mga tinukoy na file o prosesong ito, agad nitong itinatala ang pagtuklas bilang nagpapahiwatig ng pagkakaroon ng honeypot.
Pagsusuri ng Mga Tool sa Pagsusuri
Ang Kazuar ay nagpapanatili ng isang listahan ng mga paunang natukoy na pangalan na kumakatawan sa iba't ibang malawak na ginagamit na tool sa pagsusuri. Sistematikong sinusuri nito ang roster laban sa mga aktibong proseso sa system. Sa pag-detect ng operasyon ng alinman sa mga tool na ito, agad na nirerehistro ni Kazuar ang paghahanap, na nagpapahiwatig ng pagkakaroon ng mga tool sa pagsusuri.
Sandbox Check
Ang Kazuar ay nagtataglay ng isang set ng mga paunang natukoy na sandbox library na naka-hardcode sa system nito. Nagsasagawa ito ng mga pag-scan upang matukoy ang mga partikular na DLL na nauugnay sa iba't ibang serbisyo ng sandbox. Sa pagharap sa mga file na ito, napagpasyahan ni Kazuar na ito ay tumatakbo sa loob ng isang kapaligiran sa laboratoryo, na nag-udyok dito na itigil ang mga operasyon nito.
Monitor ng Log ng Kaganapan
Si Kazuar ay sistematikong nagtitipon at nag-interpret ng mga kaganapang naitala sa mga log ng kaganapan sa Windows. Ito ay partikular na nagta-target ng mga kaganapan na nagmumula sa isang seleksyon ng mga anti-malware at security vendor. Ang sinasadyang pagtutok na ito ay umaayon sa diskarte nito sa pagsubaybay sa mga aktibidad na nauugnay sa malawakang ginagamit na mga produkto ng seguridad sa ilalim ng makatotohanang pagpapalagay na ang mga tool na ito ay laganap sa mga potensyal na target.
Ang Kazuar Malware ay Patuloy na Kumakatawan sa Isang Pangunahing Banta sa Digital Space
Ang pinakabagong variant ng Kazuar malware, na natukoy kamakailan sa ligaw, ay nagpapakita ng ilang kapansin-pansing katangian. Isinasama nito ang matatag na code at mga diskarte sa string obfuscation kasama ng isang multithreaded na modelo para sa pinahusay na pagganap. Higit pa rito, ang isang hanay ng mga scheme ng pag-encrypt ay ipinatupad upang pangalagaan ang code ni Kazuar mula sa pagsusuri at upang itago ang data nito, maging sa memorya, sa panahon ng paghahatid, o sa disk. Ang mga feature na ito ay sama-samang naglalayong bigyan ang Kazuar backdoor ng mas mataas na antas ng stealth.
Bukod pa rito, ang pag-ulit na ito ng malware ay nagpapakita ng mga sopistikadong anti-analysis functionality at malawak na system profileing na kakayahan. Kapansin-pansin ang partikular na pag-target nito sa mga cloud application. Bukod dito, ipinagmamalaki ng bersyong ito ng Kazuar ang suporta para sa isang malawak na hanay ng higit sa 40 natatanging mga utos, na ang kalahati sa mga ito ay dati nang hindi dokumentado ng mga mananaliksik ng cybersecurity.
Paano Protektahan laban sa Kazuar
Tulad ng anumang uri ng pagbabanta, ang pangunahing bagay na maaari mong gawin upang protektahan ang iyong computer ay upang maiwasan ang pagbubukas ng mga email attachment at link. Huwag makipag-ugnayan sa email kung hindi mo alam kung saan ito nanggaling. Gayundin, tiyaking regular na i-back up ang iyong pinakamahalagang data. Nakakatulong din ang pagkakaroon ng maramihang pag-backup, dahil mas maraming backup ang mayroon ka, mas mataas ang iyong pagkakataong maibalik sa normal ang mga bagay sa kaganapan ng Kazuar o isa pang malware.
Panghuli ngunit hindi bababa sa, gusto mong tiyakin na ang lahat ng iyong mga programa at application ay napapanahon. Huwag kalimutang i-update nang madalas ang iyong operating system. Ang mga banta sa computer ay umuunlad sa pamamagitan ng mga pagsasamantala sa mga operating system at software, kaya huwag hayaan silang magtagal.
