Multi-License Discount Quote
База даних загроз Backdoors Kazuar

Kazuar

До GoldSparrow року в Backdoors році
Перекласти на:
Українська

Дослідники виявили бекдор-троян під назвою Kazuar. Було виявлено, що Kazuar пов’язаний із шпигунською кампанією та, схоже, написаний за допомогою Microsoft .NET Framework. Kazuar дозволяє зловмисникам отримати повний доступ до скомпрометованої системи.

Kazuar має кілька потенційних функцій і команд, включаючи можливість віддаленого завантаження плагінів. Ці плагіни надають трояну більше можливостей і роблять його більшою загрозою. У спостережуваному штамі також був код, який припускав, що у світі існують версії Kazuar для Linux і Mac. Одна особливість Kazuar полягає в тому, що він працює через інтерфейс прикладного програмування (API), підключений до веб-сервера, і це, можливо, перший і єдиний вірус, який діє таким чином.

Хто стоїть за Казуаром?

Дослідники вважають, що Казуар пов’язаний з Turla , групою APT (Advanced Persistent Threat), яка також відома під іменами Snake і Uroburos . Turla відома своїми розширеними можливостями та давньою російською групою кіберзагроз, яка ймовірно пов’язана з Федеральною службою безпеки Росії (ФСБ). Атаки групи спрямовані на посольства, навчальні заклади, оборонних підрядників і дослідницькі організації. Turla має щось на зразок підпису в своєму коді, який ідентифікує інструменти як їхні, а код, який використовується для Kazuar, можна відстежити принаймні до 2005 року.

Свого часу Turla використовували низку інструментів, більшість із яких розгортаються на другому етапі атак у скомпрометованих середовищах. Kazuar може бути одним із нових способів управління операціями групи Turla.

Що робить Казуар?

Kazuar — це бекдор-троян, який є однією з найбільших категорій цифрових загроз. Backdoor Trojans можуть бути дорогими та всеосяжними програмами з цілим рядом можливостей, або це можуть бути прості програми, які нічого не роблять, окрім ping сервера. Kazuar, зокрема, названий на честь птаха казуара з Південно-Східної Азії, є скоріше традиційним бекдорним троянцем. Хоча Kazuar відносно простий, він має деякі приховані функції, які роблять його більшою загрозою, ніж типові бекдор-трояни, такі як PowerStallion або Neuron .

Казуар прагне уникнути виявлення, поки хакери Turla збирають інформацію від своїх цілей. Незважаючи на те, що Kazuar є програмою .NET Framework, вона також має функції, які роблять її сумісною з системами Mac і Unix/Linux. Однак поки що в дикій природі були помічені лише варіанти Windows.

Подивіться на код Kazuar, і ви побачите, скільки роботи було вкладено в цей вірус. Kazuar має розширену програму налаштування та здатний адаптуватися до вразливих комп’ютерів, встановлюючи стійкість кількома методами. Вірус створює DLL-файли та використовує служби Windows і функції .NET Framework, щоб залишатися на комп’ютері. Після того як вірус запуститься, він надасть зловмиснику інформацію про цільовий комп’ютер і дозволить йому взяти під контроль. Зловмисники можуть завантажувати файли, робити знімки екрана, активувати веб-камери, копіювати дані, запускати виконувані файли та виконувати інші завдання за допомогою додаткових модулів.

Варто звернути увагу на функцію API. Такі віруси переважно підключаються до серверів командування та керування (сервери C2) і чекають інструкцій. Kazuar виділяється тим, що може створити веб-сервер, який постійно прослуховує, і допомагає вірусу уникати брандмауерів і виявлення шкідливих програм.

Як Kazuar заражає комп’ютери?

Зловмисне програмне забезпечення Kazuar заражає комп’ютери кількома різними методами. Найпоширенішими є пакети зловмисного програмного забезпечення, спам електронної пошти, спільний доступ до мережі, шкідливі посилання та доступ до інфікованих флеш-пам’яті. Kazuar обов’язково завдасть величезної шкоди, коли потрапить на ваш комп’ютер.

Жертви повідомили, що їм доводиться мати справу з відмовою жорсткого диска, частими збоями, пошкодженими програмами тощо. Це не кажучи вже про реальну шкоду, яку це може завдати у вигляді фінансових втрат або крадіжки особистих даних. Ви повинні вжити заходів, щоб захистити себе від Kazuar і видалити будь-яку інфекцію якомога швидше.

Після зараження цільового пристрою зловмисне програмне забезпечення Kazuar збирало деяку інформацію про програмне та апаратне забезпечення зараженого хоста. Крім того, загроза Kazuar створить унікальний м'ютекс на основі серійного ідентифікатора жорсткого диска та імені користувача активного користувача. Цей етап атаки слугує для виявлення наявності на зараженому комп’ютері двох варіантів шкідливого програмного забезпечення Kazuar. Щойно це буде завершено, зловмисне програмне забезпечення Kazuar продовжить атаку, здобувши стійкість на хості. Це досягається шляхом зміни системного реєстру Windows. Далі зловмисне програмне забезпечення Kazuar підключалося до C&C (командного та контрольного) сервера своїх операторів і чекало на команди від них. Серед основних особливостей шкідливого програмного забезпечення Kazuar:

  • Створення скріншотів активних вікон і робочого столу користувача.
  • Завантаження файлів.
  • Завантаження файлів.
  • Запис кадрів через камеру системи.
  • Управління запущеними процесами.
  • Виконання дистанційних команд.
  • Перелік активних плагінів загрози та керування ними.
  • Оновлення себе та свого списку серверів C&C.
  • Самознищення.

Цей довгий список можливостей дозволяє зловмисному програмному забезпеченню Kazuar завдати значної шкоди будь-якій системі, в яку йому вдається проникнути. Оскільки ймовірно, що творці загрози Kazuar працюють над OSX-сумісною ітерацією цього зловмисного програмного забезпечення, ще більше користувачів опиниться під загрозою. Щоб захистити вашу систему від шкідників, таких як загроза Kazuar, обов’язково завантажте та встановіть справжній пакет програмного забезпечення для захисту від шкідливих програм, який подбає про вашу кібербезпеку та захистить ваші дані.

Turla розгортає новий варіант Kazuar проти цілей в Україні

З моменту свого першого виявлення в 2017 році Kazuar спорадично з’являвся в дикій природі, головним чином впливаючи на організації в європейських державних і військових сферах. Його зв’язок із бекдором Sunburst , підтверджений подібністю коду, підкреслює його складну природу. Хоча з кінця 2020 року нових зразків Kazuar не з’являлося, у звітах говориться про те, що розробка триває в тіні.

Аналіз оновленого коду Kazuar підкреслює узгоджені зусилля його творців, спрямовані на покращення його стелс-можливостей, уникнення механізмів виявлення та перешкоду спробам аналізу. Це досягається за допомогою ряду передових методів антианалізу в поєднанні з надійним шифруванням і методами обфускації для захисту цілісності коду зловмисного програмного забезпечення.

Основні функції нового варіанту зловмисного програмного забезпечення Kazuar

У типовій манері Turla Kazuar використовує стратегію використання зламаних законних веб-сайтів для своєї інфраструктури командування та контролю (C2), таким чином уникаючи видалення. Крім того, Kazuar сприяє спілкуванню через іменовані канали, використовуючи обидва методи для отримання віддалених команд або завдань.

Kazuar може похвалитися підтримкою 45 окремих завдань у своїй структурі C2, що є помітним прогресом у його функціональності порівняно з попередніми версіями. Попередні дослідження не документували деякі з цих завдань. На відміну від цього, початковий варіант Kazuar, проаналізований у 2017 році, підтримував лише 26 команд C2.

Список розпізнаних команд Kazuar охоплює різні категорії, зокрема:

  • Збір даних хоста
  • Розширений збір криміналістичних даних
  • Маніпуляції з файлами
  • Виконання довільних команд
  • Взаємодія з налаштуваннями конфігурації Kazuar
  • Запити та маніпуляції з реєстром Windows
  • Виконання скриптів (VBS, PowerShell, JavaScript)
  • Надсилання настроюваних мережевих запитів
  • Крадіжка облікових даних і конфіденційної інформації

Крадіжка даних залишається одним із головних пріоритетів для Turla

Kazuar має можливість збирати облікові дані з різних артефактів у скомпрометованому комп’ютері, викликаних такими командами, як «викрадення» або «без спостереження», отримані від сервера командування та керування (C2). Ці артефакти охоплюють численні відомі хмарні програми.

Крім того, Kazuar може націлювати конфіденційні файли, що містять облікові дані, пов’язані з цими програмами. Серед цільових артефактів Git SCM (популярна серед розробників система контролю джерел) і Signal (платформа зашифрованих повідомлень для приватного спілкування).

Після створення унікального потоку розв’язувача Kazuar автоматично ініціює розширене завдання профілювання системи, яке його творці назвали «first_systeminfo_do». Це завдання передбачає ретельний збір і профілювання цільової системи. Kazuar збирає вичерпну інформацію про заражену машину, включаючи подробиці про операційну систему, специфікації обладнання та конфігурацію мережі.

Зібрані дані зберігаються у файлі info.txt, а журнали виконання зберігаються у файлі logs.txt. Крім того, у рамках цього завдання зловмисне програмне забезпечення робить скріншот екрана користувача. Потім усі зібрані файли об’єднуються в єдиний архів, шифруються та надсилаються на C2.

Kazuar встановлює кілька автоматизованих завдань на заражених пристроях

Kazuar має можливість встановлювати автоматизовані процедури, які виконуються через заздалегідь визначені проміжки часу з метою отримання даних із скомпрометованих систем. Ці автоматизовані завдання охоплюють низку функцій, зокрема збір повної системної інформації, як описано в розділі «Комплексне профілювання системи», створення знімків екрана, вилучення облікових даних, отримання даних криміналістики, отримання даних автоматичного запуску, отримання файлів із призначених папок, складання списку LNK-файли та крадіжки електронних листів за допомогою MAPI.

Ці функції дозволяють Kazuar проводити систематичне спостереження та витягувати дані із заражених машин, надаючи зловмисникам велику кількість конфіденційної інформації. Використовуючи ці автоматизовані завдання, Kazuar спрощує процес розвідки та викрадання даних, підвищуючи його ефективність як інструменту для кібершпигунства та зловмисної діяльності.

Оновлене зловмисне програмне забезпечення Kazuar оснащено розширеними можливостями антианалізу

Kazuar використовує різноманітні складні методи антианалізу, ретельно розроблені, щоб уникнути виявлення та перевірки. Kazuar, запрограмований його творцями, динамічно коригує свою поведінку на основі наявності аналізу. Коли він визначає, що аналіз не проводиться, Kazuar продовжує свої операції. Однак, якщо він виявляє будь-які ознаки налагодження або аналізу, він негайно переходить у стан очікування, припиняючи всі зв’язки зі своїм сервером командування та керування (C2).

Антидемпінг

Враховуючи, що Kazuar працює як ін’єктований компонент в іншому процесі, а не як автономна сутність, перспектива вилучення його коду з пам’яті головного процесу вимальовується. Щоб усунути цю вразливість, Kazuar вміло використовує надійну функцію в .NET — простір імен System.Reflection. Ця можливість надає Kazuar гнучкість для отримання метаданих, що стосуються його складання, динамічних методів та інших критичних елементів у режимі реального часу, зміцнюючи його захист від потенційних спроб вилучення коду.

Крім того, Kazuar реалізує захисний захід, ретельно перевіряючи, чи ввімкнено параметр antidump_methods. У таких випадках він замінює вказівники на свої спеціальні методи, ігноруючи загальні методи .NET, фактично стираючи їх із пам’яті. Як засвідчує зареєстроване повідомлення Kazuar, цей проактивний підхід служить для того, щоб перешкодити дослідникам отримати неушкоджену версію зловмисного програмного забезпечення, тим самим підвищуючи його стійкість до аналізу та виявлення.

Honeypot Check

Серед своїх початкових завдань Kazuar старанно сканує будь-які ознаки артефактів honeypot на цільовій машині. Щоб досягти цього, він посилається на попередньо визначений список імен процесів і імен файлів, використовуючи жорстко закодований підхід. Якщо Kazuar виявить більше п’яти екземплярів цих зазначених файлів або процесів, він негайно зафіксує виявлення як ознаку присутності приманки.

Перевірка засобів аналізу

Kazuar підтримує список попередньо визначених імен, які представляють різноманітні широко використовувані інструменти аналізу. Він систематично перевіряє список активних процесів у системі. Після виявлення роботи будь-якого з цих інструментів Kazuar негайно реєструє знахідку, вказуючи на наявність інструментів аналізу.

Перевірка пісочниці

Kazuar має набір заздалегідь визначених бібліотек пісочниці, жорстко закодованих у його системі. Він проводить сканування, щоб визначити конкретні DLL, пов’язані з різними службами ізольованого програмного середовища. Зустрівши ці файли, Kazuar робить висновок, що він працює в лабораторному середовищі, що спонукає його припинити свою роботу.

Монітор журналу подій

Kazuar систематично збирає та інтерпретує події, записані в журналах подій Windows. Він спеціально націлений на події, що виникають через вибір постачальників засобів захисту від зловмисного програмного забезпечення та безпеки. Цей навмисний фокус узгоджується з його стратегією моніторингу діяльності, пов’язаної з широко використовуваними продуктами безпеки за правдоподібного припущення, що ці інструменти переважають серед потенційних цілей.

Зловмисне програмне забезпечення Kazuar продовжує представляти серйозну загрозу в цифровому просторі

Останній варіант зловмисного програмного забезпечення Kazuar, нещодавно ідентифікований у дикій природі, демонструє кілька помітних атрибутів. Він включає надійний код і методи обфускації рядків, а також багатопотокову модель для підвищення продуктивності. Крім того, реалізовано низку схем шифрування, щоб захистити код Kazuar від аналізу та приховати його дані в пам’яті, під час передачі чи на диску. Ці функції разом спрямовані на те, щоб надати бекдору Kazuar підвищений рівень скритності.

Крім того, ця ітерація зловмисного програмного забезпечення демонструє складні функції антианалізу та широкі можливості профілювання системи. Його конкретне націлювання на хмарні програми заслуговує на увагу. Крім того, ця версія Kazuar може похвалитися підтримкою широкого набору з понад 40 різних команд, половина з яких раніше не була задокументована дослідниками кібербезпеки.

Як захиститися від Kazuar

Як і у випадку з будь-якими видами загроз, головне, що ви можете зробити, щоб захистити свій комп’ютер, — це не відкривати вкладення електронної пошти та посилання. Не взаємодійте з електронним листом, якщо ви не знаєте, звідки воно надійшло. Також регулярно створюйте резервні копії найважливіших даних. Крім того, корисно мати кілька резервних копій, оскільки чим більше резервних копій у вас є, тим вищі ваші шанси повернути все до нормального стану у випадку Kazuar або іншої шкідливої програми.

І останнє, але не менш важливе: ви хочете переконатися, що всі ваші програми та програми оновлені. Не забувайте надто регулярно оновлювати операційну систему. Комп’ютерні загрози процвітають через експлойти в операційних системах і програмному забезпеченні, тому не дозволяйте їм затримуватися.

В тренді

Найбільше переглянуті

Шахрайство електронною поштою "Geek Squad".

Phishing, Spam
36,927
Geek Squad, популярна служба технічної підтримки, стала жертвою фішингової афери під назвою Geek Squad Email Scam. У цій шахрайській службі технічної підтримки використовуються фальшиві електронні листи, які обманом змушують людей надати особисту інформацію, таку як дані кредитної картки, адреси електронної пошти та навіть номери соціального страхування. У цій статті ми обговоримо саму аферу,...
Завантаження...