Multi-License Discount Quote
Cơ sở dữ liệu về mối đe dọa Backdoors Kazuar

Kazuar

Đến năm GoldSparrow năm Backdoors
Dịch sang:
Tiếng Việt Nam

Các nhà nghiên cứu đã phát hiện ra một Trojan cửa sau có tên Kazuar. Kazuar bị phát hiện có liên quan đến một chiến dịch gián điệp và dường như được viết bằng Microsoft .NET Framework. Kazuar cho phép kẻ tấn công có quyền truy cập hoàn toàn vào hệ thống bị xâm nhập.

Kazuar có một số chức năng và lệnh tiềm năng, bao gồm khả năng tải plugin từ xa. Các plugin này cung cấp cho Trojan những khả năng lớn hơn và khiến nó trở thành mối đe dọa lớn hơn. Ngoài ra còn có mã trong dòng được quan sát cho thấy có phiên bản Linux và Mac của Kazuar trên thế giới. Một điều nổi bật về Kazuar là nó hoạt động thông qua Giao diện lập trình ứng dụng (API) được kết nối với máy chủ web và đây có thể là vi-rút đầu tiên – và duy nhất – hoạt động theo cách như vậy.

Ai đứng sau Kazuar?

Các nhà nghiên cứu tin rằng Kazuar có liên kết với Turla , một nhóm APT (Mối đe dọa dai dẳng nâng cao), còn được biết là hoạt động dưới tên SnakeUroburos . Turla được biết đến với khả năng tiên tiến và là nhóm đe dọa mạng lâu đời có trụ sở tại Nga với cáo buộc có quan hệ với Cơ quan An ninh Liên bang Nga (FSB). Nhóm này nhắm vào các đại sứ quán, cơ sở giáo dục, nhà thầu quốc phòng và tổ chức nghiên cứu bằng các cuộc tấn công của họ. Turla có một chữ ký nào đó trong mã của họ để xác định các công cụ là của họ và ít nhất mã được sử dụng cho Kazuar có thể được truy nguyên từ năm 2005.

Turla đã sử dụng một số công cụ trong thời gian của họ, hầu hết trong số đó được triển khai ở giai đoạn tấn công thứ hai trong môi trường bị xâm nhập. Kazuar có thể là một cách mới để nhóm Turla xử lý các hoạt động.

Kazuar làm gì?

Kazuar là một Trojan cửa sau, là một trong những loại mối đe dọa kỹ thuật số lớn nhất. Trojan cửa sau có thể là các chương trình đắt tiền và toàn diện với nhiều khả năng khác nhau hoặc chúng có thể là các chương trình đơn giản không làm gì khác ngoài ping máy chủ. Đặc biệt, Kazuar, được đặt tên theo loài chim đà điểu ở Đông Nam Á, giống một Trojan cửa hậu truyền thống hơn. Mặc dù Kazuar tương đối cơ bản nhưng nó có một số tính năng ẩn khiến nó trở thành mối đe dọa lớn hơn các Trojan cửa sau điển hình như PowerStallion hoặc Neuron .

Kazuar cố gắng tránh bị phát hiện khi tin tặc Turla thu thập thông tin tình báo từ mục tiêu của chúng. Mặc dù Kazuar là một ứng dụng .NET Framework nhưng nó cũng có các tính năng giúp nó tương thích với các hệ thống Mac và Unix/Linux. Tuy nhiên, cho đến nay, chỉ có các biến thể Windows được phát hiện ngoài tự nhiên.

Hãy xem mã của Kazuar và bạn sẽ thấy con virus này đã phải bỏ ra bao nhiêu công sức. Kazuar có quy trình thiết lập nâng cao và có thể thích ứng với các máy tính dễ bị tấn công bằng cách thiết lập tính bền vững thông qua một số phương pháp. Virus tạo các DLL và khai thác các dịch vụ Windows cũng như các chức năng .NET Framework để tồn tại trên máy tính. Khi virus hoạt động, nó sẽ cung cấp cho kẻ tấn công thông tin về máy tính mục tiêu và để chúng chiếm quyền kiểm soát. Những kẻ tấn công có thể tải tệp lên, chụp ảnh màn hình, kích hoạt webcam, sao chép dữ liệu, khởi chạy tệp thực thi và thực hiện các tác vụ khác thông qua các mô-đun tùy chọn.

Điều đáng lưu ý là tính năng API. Những loại virus như thế này chủ yếu kết nối với máy chủ Command and Control (máy chủ C2) và chờ hướng dẫn. Kazuar nổi bật vì nó có thể tạo ra một máy chủ Web luôn lắng nghe giúp virus tránh được tường lửa và các phát hiện chống phần mềm độc hại.

Kazuar lây nhiễm vào máy tính như thế nào?

Phần mềm độc hại Kazuar lây nhiễm vào máy tính thông qua nhiều phương pháp khác nhau. Phổ biến nhất là các gói phần mềm độc hại, spam email, chia sẻ mạng, liên kết độc hại và truy cập vào ổ đĩa flash bị nhiễm virus. Kazuar chắc chắn sẽ gây ra thiệt hại lớn khi xâm nhập vào máy tính của bạn.

Các nạn nhân cho biết họ phải đối mặt với tình trạng ổ cứng bị hỏng, thường xuyên gặp sự cố, ứng dụng bị hỏng, v.v. Điều đó chưa nói lên tác hại thực sự mà nó có thể gây ra về mặt tổn thất tài chính hoặc đánh cắp danh tính. Bạn nên thực hiện các bước để bảo vệ bản thân trước Kazuar và loại bỏ mọi sự lây nhiễm ngay khi có thể.

Khi lây nhiễm vào thiết bị mục tiêu, phần mềm độc hại Kazuar sẽ thu thập một số thông tin liên quan đến phần mềm và phần cứng của máy chủ bị nhiễm. Hơn nữa, mối đe dọa Kazuar sẽ tạo ra một mutex duy nhất dựa trên ID nối tiếp của đĩa cứng và tên người dùng của người dùng đang hoạt động. Bước tấn công này dùng để phát hiện xem có hai biến thể của phần mềm độc hại Kazuar đang chạy trên máy tính bị nhiễm hay không. Khi quá trình này hoàn tất, phần mềm độc hại Kazuar sẽ tiến hành cuộc tấn công bằng cách duy trì sự tồn tại trên máy chủ. Điều này đạt được bằng cách sửa đổi sổ đăng ký Windows của hệ thống. Tiếp theo, phần mềm độc hại Kazuar sẽ kết nối với máy chủ C&C (Command & Control) của những người vận hành nó và chờ nhận lệnh từ họ. Một số tính năng chính của phần mềm độc hại Kazuar là:

  • Chụp ảnh màn hình các cửa sổ và màn hình đang hoạt động của người dùng.
  • Tải tập tin.
  • Đang tải lên tập tin.
  • Ghi lại cảnh quay qua camera của hệ thống.
  • Quản lý các tiến trình đang chạy.
  • Thực hiện các lệnh từ xa.
  • Liệt kê và quản lý các plugin đang hoạt động của mối đe dọa.
  • Đang cập nhật chính nó và danh sách các máy chủ C&C của nó.
  • Tự hủy hoại.

    • Danh sách dài các khả năng này cho phép phần mềm độc hại Kazuar gây ra thiệt hại đáng kể cho bất kỳ hệ thống nào mà nó xâm nhập được. Vì có khả năng những kẻ tạo ra mối đe dọa Kazuar đang làm việc trên một phiên bản lặp lại tương thích với OSX của phần mềm độc hại này, thậm chí nhiều người dùng sẽ gặp rủi ro hơn. Để bảo vệ hệ thống của bạn khỏi các loài gây hại như mối đe dọa Kazuar, hãy đảm bảo tải xuống và cài đặt bộ phần mềm chống phần mềm độc hại chính hãng sẽ đảm bảo an ninh mạng và giữ an toàn cho dữ liệu của bạn.

    Turla triển khai biến thể Kazuar mới chống lại các mục tiêu ở Ukraine

    Kể từ khi được phát hiện lần đầu vào năm 2017, Kazuar đã xuất hiện lẻ tẻ, chủ yếu ảnh hưởng đến các tổ chức trong phạm vi chính phủ và quân sự châu Âu. Mối liên hệ của nó với cửa sau Sunburst , được chứng minh bằng những điểm tương đồng về mã, nhấn mạnh bản chất phức tạp của nó. Mặc dù không có mẫu Kazuar mới nào xuất hiện kể từ cuối năm 2020, nhưng các báo cáo cho thấy những nỗ lực phát triển đang diễn ra trong bóng tối.

    Phân tích mã Kazuar được cập nhật nêu bật nỗ lực phối hợp của những người tạo ra nó nhằm nâng cao khả năng tàng hình, trốn tránh các cơ chế phát hiện và ngăn chặn các nỗ lực phân tích. Điều này đạt được thông qua một loạt các phương pháp chống phân tích tiên tiến kết hợp với các kỹ thuật mã hóa và làm xáo trộn mạnh mẽ để bảo vệ tính toàn vẹn của mã phần mềm độc hại.

    Chức năng cốt lõi của biến thể phần mềm độc hại Kazuar mới

    Theo kiểu Turla điển hình, Kazuar sử dụng chiến lược sử dụng các trang web hợp pháp bị tấn công cho cơ sở hạ tầng Chỉ huy và Kiểm soát (C2) của mình, do đó tránh được việc triệt phá. Ngoài ra, Kazuar còn tạo điều kiện giao tiếp qua các đường ống được đặt tên, sử dụng cả hai phương pháp để nhận lệnh hoặc tác vụ từ xa.

    Kazuar tự hào hỗ trợ 45 nhiệm vụ riêng biệt trong khung C2, thể hiện sự tiến bộ đáng chú ý về chức năng của nó so với các phiên bản trước. Nghiên cứu trước đây chưa ghi nhận một số nhiệm vụ này. Ngược lại, biến thể đầu tiên của Kazuar được phân tích vào năm 2017 chỉ hỗ trợ 26 lệnh C2.

    Danh sách các lệnh được công nhận của Kazuar trải rộng trên nhiều danh mục khác nhau, bao gồm:

    • Thu thập dữ liệu máy chủ
    • Thu thập dữ liệu pháp y mở rộng
    • Thao tác tập tin
    • Thực hiện các lệnh tùy ý
    • Tương tác với cài đặt cấu hình của Kazuar
  • Truy vấn và thao tác với Windows registry
  • Thực thi các tập lệnh (VBS, PowerShell, JavaScript)
  • Gửi yêu cầu mạng tùy chỉnh
  • Trộm cắp thông tin xác thực và thông tin nhạy cảm

    • Trộm cắp dữ liệu vẫn là một trong những ưu tiên hàng đầu của Turla

    Kazuar sở hữu khả năng thu thập thông tin xác thực từ nhiều tạo phẩm khác nhau trong máy tính bị xâm nhập, được kích hoạt bởi các lệnh như 'đánh cắp' hoặc 'không giám sát' nhận được từ máy chủ Chỉ huy và Kiểm soát (C2). Những tạo phẩm này bao gồm nhiều ứng dụng đám mây nổi tiếng.

    Hơn nữa, Kazuar có thể nhắm mục tiêu các tệp nhạy cảm chứa thông tin xác thực được liên kết với các ứng dụng này. Trong số các tạo phẩm được nhắm mục tiêu có Git SCM (một hệ thống kiểm soát nguồn phổ biến giữa các nhà phát triển) và Signal (một nền tảng nhắn tin được mã hóa để liên lạc riêng tư).

    Khi tạo ra một chuỗi bộ giải duy nhất, Kazuar tự động bắt đầu một tác vụ lập hồ sơ hệ thống mở rộng, được người tạo ra nó đặt tên là 'first_systeminfo_do'. Nhiệm vụ này đòi hỏi phải thu thập và lập hồ sơ kỹ lưỡng về hệ thống mục tiêu. Kazuar thu thập thông tin toàn diện về máy bị nhiễm, bao gồm chi tiết về hệ điều hành, thông số kỹ thuật phần cứng và cấu hình mạng.

    Dữ liệu đã thu thập được lưu trữ trong tệp 'info.txt', trong khi nhật ký thực thi được lưu trong tệp 'logs.txt'. Ngoài ra, như một phần của nhiệm vụ này, phần mềm độc hại sẽ chụp ảnh màn hình màn hình của người dùng. Sau đó, tất cả các tệp được thu thập sẽ được gói vào một kho lưu trữ duy nhất, được mã hóa và gửi đến C2.

    Kazuar thiết lập nhiều tác vụ tự động trên các thiết bị bị nhiễm

    Kazuar sở hữu khả năng thiết lập các quy trình tự động thực hiện theo các khoảng thời gian xác định trước nhằm mục đích lấy dữ liệu từ các hệ thống bị xâm nhập. Các tác vụ tự động này bao gồm một loạt chức năng, bao gồm thu thập thông tin hệ thống toàn diện như được nêu chi tiết trong phần Hồ sơ hệ thống toàn diện, chụp ảnh màn hình, trích xuất thông tin xác thực, truy xuất dữ liệu điều tra, thu thập dữ liệu tự động chạy, lấy tệp từ các thư mục được chỉ định, biên soạn danh sách LNK và lấy trộm email thông qua việc sử dụng MAPI.

    Những chức năng này cho phép Kazuar tiến hành giám sát và trích xuất dữ liệu một cách có hệ thống từ các máy bị nhiễm, trao cho các tác nhân độc hại vô số thông tin nhạy cảm. Bằng cách tận dụng các tác vụ tự động này, Kazuar hợp lý hóa quy trình trinh sát và lọc dữ liệu, nâng cao tính hiệu quả của quy trình này như một công cụ dành cho hoạt động gián điệp mạng và hoạt động độc hại.

    Phần mềm độc hại Kazuar cập nhật được trang bị khả năng chống phân tích mở rộng

    Kazuar sử dụng nhiều kỹ thuật chống phân tích phức tạp được thiết kế tỉ mỉ để tránh bị phát hiện và giám sát. Được lập trình bởi những người tạo ra nó, Kazuar tự động điều chỉnh hành vi của mình dựa trên sự hiện diện của các hoạt động phân tích. Khi xác định rằng không có phân tích nào được tiến hành, Kazuar tiếp tục hoạt động của mình. Tuy nhiên, nếu phát hiện bất kỳ dấu hiệu nào của việc gỡ lỗi hoặc phân tích, nó sẽ ngay lập tức chuyển sang trạng thái không hoạt động, tạm dừng mọi liên lạc với máy chủ Chỉ huy và Kiểm soát (C2) của nó.

    chống bán phá giá

    Cho rằng Kazuar hoạt động như một thành phần được chèn vào trong một quy trình khác chứ không phải là một thực thể tự trị, nên triển vọng trích xuất mã của nó từ bộ nhớ của quy trình máy chủ sẽ xuất hiện. Để chống lại lỗ hổng này, Kazuar sử dụng thành thạo một tính năng mạnh mẽ trong .NET, Không gian tên System.Reflection. Khả năng này mang lại cho Kazuar sự linh hoạt để truy xuất siêu dữ liệu liên quan đến quá trình lắp ráp, các phương pháp và các yếu tố quan trọng khác trong thời gian thực, củng cố khả năng phòng thủ của nó trước các nỗ lực trích xuất mã tiềm năng.

    Ngoài ra, Kazuar thực hiện một biện pháp phòng thủ bằng cách xem xét kỹ lưỡng xem cài đặt antidump_methods có được bật hay không. Trong những trường hợp như vậy, nó ghi đè các con trỏ tới các phương thức riêng biệt của nó trong khi bỏ qua các phương thức .NET chung, xóa chúng khỏi bộ nhớ một cách hiệu quả. Bằng chứng là thông báo đã ghi lại của Kazuar, cách tiếp cận chủ động này nhằm cản trở các nhà nghiên cứu trích xuất phiên bản nguyên vẹn của phần mềm độc hại, từ đó nâng cao khả năng phục hồi của nó trước việc phân tích và phát hiện.

    Kiểm tra mật ong

    Trong số các nhiệm vụ ban đầu của mình, Kazuar cần mẫn quét mọi dấu hiệu của hiện vật honeypot trên máy mục tiêu. Để thực hiện điều này, nó tham chiếu một danh sách tên quy trình và tên tệp được xác định trước, sử dụng phương pháp mã hóa cứng. Nếu Kazuar gặp hơn năm trường hợp của các tệp hoặc quy trình được chỉ định này, nó sẽ nhanh chóng ghi lại phát hiện này dưới dạng dấu hiệu cho thấy sự hiện diện của honeypot.

    Kiểm tra công cụ phân tích

    Kazuar duy trì một danh sách các tên được xác định trước đại diện cho nhiều công cụ phân tích được sử dụng rộng rãi. Nó xem xét một cách có hệ thống danh sách dựa trên các quy trình đang hoạt động trên hệ thống. Khi phát hiện hoạt động của bất kỳ công cụ nào trong số này, Kazuar nhanh chóng đăng ký phát hiện, cho biết sự hiện diện của các công cụ phân tích.

    Kiểm tra hộp cát

    Kazuar sở hữu một bộ thư viện sandbox được xác định trước và được mã hóa cứng vào hệ thống của nó. Nó tiến hành quét để xác định các DLL cụ thể được liên kết với các dịch vụ hộp cát khác nhau. Khi gặp những tập tin này, Kazuar kết luận rằng nó đang chạy trong môi trường phòng thí nghiệm, khiến nó phải ngừng hoạt động.

    Giám sát nhật ký sự kiện

    Kazuar tập hợp và diễn giải một cách có hệ thống các sự kiện được ghi trong nhật ký sự kiện của Windows. Nó đặc biệt nhắm mục tiêu các sự kiện bắt nguồn từ một số nhà cung cấp bảo mật và chống phần mềm độc hại. Trọng tâm có chủ ý này phù hợp với chiến lược giám sát các hoạt động liên quan đến các sản phẩm bảo mật được sử dụng rộng rãi với giả định hợp lý rằng những công cụ này phổ biến trong số các mục tiêu tiềm năng.

    Phần mềm độc hại Kazuar tiếp tục là mối đe dọa lớn trong không gian kỹ thuật số

    Biến thể mới nhất của phần mềm độc hại Kazuar, được phát hiện gần đây, có một số thuộc tính đáng chú ý. Nó kết hợp các kỹ thuật mã hóa chuỗi và mã mạnh mẽ cùng với mô hình đa luồng để nâng cao hiệu suất. Hơn nữa, một loạt các chương trình mã hóa được triển khai để bảo vệ mã của Kazuar khỏi bị phân tích và che giấu dữ liệu của nó, cho dù trong bộ nhớ, trong quá trình truyền hay trên đĩa. Những tính năng này nhằm mục đích mang lại cho cửa sau Kazuar mức độ tàng hình cao hơn.

    Ngoài ra, lần lặp lại phần mềm độc hại này còn thể hiện các chức năng chống phân tích phức tạp và khả năng lập hồ sơ hệ thống mở rộng. Việc nhắm mục tiêu cụ thể của nó vào các ứng dụng đám mây là điều đáng chú ý. Hơn nữa, phiên bản Kazuar này tự hào hỗ trợ một loạt hơn 40 lệnh riêng biệt, với một nửa trong số đó trước đây không được các nhà nghiên cứu an ninh mạng ghi lại.

    Cách bảo vệ khỏi Kazuar

    Giống như bất kỳ loại mối đe dọa nào, điều chính bạn có thể làm để bảo vệ máy tính của mình là tránh mở các liên kết và tệp đính kèm email. Đừng tương tác với email nếu bạn không biết nó đến từ đâu. Ngoài ra, hãy đảm bảo sao lưu dữ liệu quan trọng nhất của bạn thường xuyên. Việc có nhiều bản sao lưu cũng giúp ích vì bạn càng có nhiều bản sao lưu thì cơ hội đưa mọi thứ trở lại bình thường trong trường hợp có Kazuar hoặc phần mềm độc hại khác càng cao.

    Cuối cùng nhưng không kém phần quan trọng, bạn muốn đảm bảo rằng tất cả các chương trình và ứng dụng của bạn đều được cập nhật. Đừng quên cập nhật hệ điều hành của bạn quá thường xuyên. Các mối đe dọa máy tính phát triển mạnh thông qua việc khai thác hệ điều hành và phần mềm, vì vậy đừng để chúng tồn tại lâu dài.

    xu hướng

    Xem nhiều nhất

    Lừa đảo qua email 'Geek Squad'

    Phishing, Spam
    36,927
    Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
    Đang tải...