- Регистрация
- 01.08.25
- Сообщения
- 1,073
- Реакции
- 626
Как сообщили эксперты Fox-IT и Palo Alto Networks, русские кибершпионы разработали новое поколение троянов с целым набором инновационных техник. В частности, Kazuar получил собственный API, позволяющий хакерам в случае необходимости изменять направление трафика между ним и C&C-сервером.
Вредонос разработан с помощью программной платформы .NET Framework и представлен в трех вариантах – для Windows, Mac и Linux. Исследователи Palo Alto проанализировали Windows-версию, она-то и была названа Kazuar. Эксперты Fox-IT обнаружили Mac-версию, получившую название Snake. Вариант для Linux пока еще не попал в поле зрения исследователей, однако, по словам специалистов Palo Alto, исходный код Kazuar указывает на ее существование.
Обе компании считают, что вредонос разработан российской киберпреступной группировкой Turla, связываемой с самой продолжительной за всю историю кибершпионской кампанией. Вредоносное ПО является заменой трояну Uroburos, уничтоженному в 2014 году исследователями G Data. Для кибершпионских групп замена обнаруженных ИБ-специалистами инструментов новыми является привычной практикой.
Как и большинство других троянов, Kazuar обращается за командами к C&C-серверу по вшитому адресу. В основном получаемые вредоносом команды такие же, как и у остальных троянов, однако одна из них отличается.
Команда remote запускает web-сервер на зараженном хосте, предоставляя API для удаленных соединений. Другими словами, Kazuar способен изменять привычный поток подключения к C&C-серверу. Вместо того, чтобы инфицированный хост пинговал сервер для новых команд, атакующий может когда угодно пинговать систему жертвы и отправлять вредоносу инструкции.
Данный подход имеет два больших преимущества. Во-первых, атакующий по желанию может мигрировать на другой C&C-сервер, а во-вторых, таким образом Kazuar способен обходить некоторые решения безопасности. Использовался ли вредонос в реальных атаках, пока неизвестно.
• Source: hp://researchcenter.paloaltonetworks.com/2017/05/unit42-kazuar-multiplatform-espionage-backdoor-api-access/
• Source: Для просмотра ссылки Войдиили Зарегистрируйся
Вредонос разработан с помощью программной платформы .NET Framework и представлен в трех вариантах – для Windows, Mac и Linux. Исследователи Palo Alto проанализировали Windows-версию, она-то и была названа Kazuar. Эксперты Fox-IT обнаружили Mac-версию, получившую название Snake. Вариант для Linux пока еще не попал в поле зрения исследователей, однако, по словам специалистов Palo Alto, исходный код Kazuar указывает на ее существование.
Обе компании считают, что вредонос разработан российской киберпреступной группировкой Turla, связываемой с самой продолжительной за всю историю кибершпионской кампанией. Вредоносное ПО является заменой трояну Uroburos, уничтоженному в 2014 году исследователями G Data. Для кибершпионских групп замена обнаруженных ИБ-специалистами инструментов новыми является привычной практикой.
Как и большинство других троянов, Kazuar обращается за командами к C&C-серверу по вшитому адресу. В основном получаемые вредоносом команды такие же, как и у остальных троянов, однако одна из них отличается.
Команда remote запускает web-сервер на зараженном хосте, предоставляя API для удаленных соединений. Другими словами, Kazuar способен изменять привычный поток подключения к C&C-серверу. Вместо того, чтобы инфицированный хост пинговал сервер для новых команд, атакующий может когда угодно пинговать систему жертвы и отправлять вредоносу инструкции.
Данный подход имеет два больших преимущества. Во-первых, атакующий по желанию может мигрировать на другой C&C-сервер, а во-вторых, таким образом Kazuar способен обходить некоторые решения безопасности. Использовался ли вредонос в реальных атаках, пока неизвестно.
• Source: hp://researchcenter.paloaltonetworks.com/2017/05/unit42-kazuar-multiplatform-espionage-backdoor-api-access/
• Source: Для просмотра ссылки Войди
ИБ-специалисты обнаружили обновлённую версию загрузчика Kazuar, который применяют участники киберопераций из группировки Turla. Этот модуль выполняет обход защитных механизмов Windows без вмешательства в системные файлы, применяет хитроумные трюки управления потоком выполнения и активно использует механизм COM. Всё это позволяет ему оставаться незаметным и затруднять анализ.
Атака начинается с незамысловатого VBScript-файла, внешне не вызывающего подозрений. Он создаёт несколько вложенных папок в каталоге локальных пользовательских данных и загружает туда пять компонентов с удалённого сервера. Среди них — легитимный установщик драйвера принтера Hewlett-Packard, который позже используется для подмены загрузки и запуска вредоносной библиотеки.
Сценарий также настраивает автозапуск через реестр и собирает информацию о системе, включая список процессов, аппаратную архитектуру и имя пользователя. Затем эти данные отправляются на тот же сервер, расположенный на IP-адресе, ранее замеченном в атаках, описанных командой ESET.
Основная вредоносная логика скрыта в библиотеке «hpbprndiLOC.dll». Она запускается через технику подмены DLL — вместе с легитимным установщиком драйвера. Этот компонент содержит обфусцированный код, ложные вызовы API и лишние логические конструкции.
Компонент использует различные функции Windows для обхода ETW и AMSI, применяя аппаратные точки останова, что позволяет обойти защитные механизмы без изменения кода в памяти. Одновременно библиотека задействует трюк с редиректом управления — часть кода запускается дважды, при этом вторая фаза начинается в середине одной и той же функции.
Загрузчик разворачивает дальнейшую атаку, опираясь на COM-инфраструктуру Windows. Он вручную копирует настройки системного компонента ADODB.Stream из глобального реестра в пользовательский, что позволяет проводить скрытые файловые операции. Для создания нужных каталогов используется механизм Shell Automation, при этом действия маскируются под активность интерфейса проводника.
Следующий этап — расшифровка и запись на диск .NET-библиотеки, через которую запускаются финальные компоненты Kazuar. Эта библиотека регистрируется в реестре как COM-объект и взаимодействует с системой через стандартный механизм Windows — COM Callable Wrapper. Каждый из трёх компонентов Kazuar (KERNEL, WORKER и BRIDGE) передаётся в неё зашифрованным и загружается в изолированном процессе dllhost.exe, что дополнительно усложняет обнаружение.
KERNEL выполняет основную вредоносную деятельность: управление задачами, логирование нажатий клавиш, работа с конфигурацией. WORKER отслеживает наличие защитных программ, включая решения от Kaspersky, Symantec и Microsoft. BRIDGE обеспечивает связь с удалёнными серверами через легитимные, но скомпрометированные WordPress-сайты, замаскированные под каталоги плагинов. Все три компонента используют метку агента AGN-RR-01, такую же, как в операциях, приписываемых совместной активности Turla и Gamaredon.
Обновлённый загрузчик Kazuar демонстрирует высокий уровень технической подготовки. Он избегает прямых изменений системных компонентов, глубоко интегрируется в инфраструктуру Windows, маскируя свои действия под поведение штатных механизмов. Архитектура из нескольких этапов, использование COM и обход защит без вмешательства в память позволяют ему оставаться в системе долгое время без обнаружения.
• Source: Для просмотра ссылки Войди
