Turla, Tespitten Kaçınmak için Kazuar Arka Kapısını Gelişmiş Anti-Analiz ile Güncelliyor
Turla olarak bilinen Rusya bağlantılı bilgisayar korsanlığı ekibinin, Kazuar olarak adlandırılan bilinen ikinci aşama arka kapının güncellenmiş bir versiyonunu kullandığı gözlemlendi.
Yeni bulgular, takımyıldız temalı takma adı Dalgın Ursa altında düşmanı izleyen Palo Alto Networks Unit 42'den geliyor.
Güvenlik araştırmacıları Daniel Frank ve Tom Fakterman teknik bir raporda, "Kazuar'ın yükseltilmiş revizyonunun kodunun ortaya koyduğu gibi, yazarlar Kazuar'ın gizli çalışma, tespitten kaçınma ve analiz çabalarını engelleme yeteneğine özel önem veriyorlar" dedi.
"Bunu, çeşitli gelişmiş anti-analiz teknikleri kullanarak ve kötü amaçlı yazılım kodunu etkili şifreleme ve gizleme uygulamalarıyla koruyarak yapıyorlar."
En az 2004'ten beri aktif olan dalgın Ursa, Rusya Federal Güvenlik Servisi'ne (FSB) atfediliyor. Bu Temmuz ayının başlarında, Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), tehdit grubunu Ukrayna ve Doğu Avrupa'daki savunma sektörünü hedef alan DeliveryCheck ve Kazuar gibi arka kapılarla saldırılara dahil etti.
Kazuar bir ilk olarak 2017 yılında, güvenliği ihlal edilmiş ana bilgisayarlarla gizlice etkileşime girme ve veri sızdırma yetenekleri nedeniyle ortaya çıkan NET tabanlı implant. Ocak 2021'de Kaspersky, kötü amaçlı yazılım türü ile 2020'deki SolarWinds saldırısıyla birlikte kullanılan başka bir arka kapı olan Sunburst arasındaki kaynak kodu örtüşmelerini vurguladı.
Kazuar'da yapılan iyileştirmeler, operasyonun arkasındaki tehdit aktörünün, kurbanların sistemlerini kontrol etme yeteneğini genişletirken, saldırı yöntemlerini geliştirmeye ve karmaşıklıkta büyümeye devam ettiğini gösteriyor. Bu, tespit edilmekten kaçınmak için sağlam gizleme ve özel dize şifreleme yöntemlerinin kullanımını içerir.
Araştırmacılar, "Kazuar çok iş parçacıklı bir modelde çalışırken, Kazuar'ın ana işlevlerinin her biri kendi iş parçacığı olarak çalışıyor" dedi.
"Başka bir deyişle, bir iş parçacığı [komut ve kontrol] komutlarından veya görevlerinden alma işlemlerini gerçekleştirirken, bir çözücü iş parçacığı bu komutların yürütülmesini gerçekleştirir. Bu çoklu iş parçacığı modeli, Kazuar'ın yazarlarının asenkron ve modüler bir akış kontrolü oluşturmasını sağlıyor."
Kötü amaçlı yazılım, kapsamlı sistem profili oluşturmayı, veri toplamayı, kimlik bilgisi hırsızlığını, dosya manipülasyonunu ve rastgele komut yürütmeyi kolaylaştıran çok çeşitli özellikleri destekler - 26'de 2017 komuttan en son varyantta 45'e atlar.
Ayrıca, sistem verilerini toplamak, ekran görüntüsü almak ve belirli klasörlerden dosya almak için belirli aralıklarla çalışacak otomatik görevler ayarlama yeteneklerini de içerir. C2 sunucuları ile iletişim HTTP üzerinden gerçekleşir.
Araştırmacılar, "C2 ile doğrudan HTTP iletişimine ek olarak, Kazuar, virüslü ağdaki diğer Kazuar ajanlarına komut alma ve gönderme konusunda bir proxy olarak işlev görme yeteneğine sahiptir" dedi.
"Bu proxy iletişimini adlandırılmış kanallar aracılığıyla yapıyor ve adlarını makinenin GUID'sine göre oluşturuyor. Kazuar, farklı Kazuar örnekleri arasında eşler arası iletişim kurmak için bu kanalları kullanıyor ve her birini bir sunucu veya istemci olarak yapılandırıyor."
Dahası, kapsamlı anti-analiz işlevleri, Kazuar'a yüksek derecede gizlilik sağlayarak boşta kalmasını sağlar ve hata ayıklanırken veya analiz edilirse tüm C2 iletişimini durdurur.
Gelişme, Kaspersky'nin Rusya'daki bir dizi devlet ve sanayi kuruluşunun, Haziran 2023'te başlayan hedef odaklı kimlik avı kampanyasının bir parçası olarak veri hırsızlığı gerçekleştiren özel bir Go tabanlı arka kapıyla hedef alındığını açıklamasının ardından geldi. Operasyonun arkasındaki tehdit aktörü şu anda bilinmiyor.
Benzer Haberler
Dört REvil Ransomware Üyesi Nadir Rus Siber Suç Mahkumiyetlerinde Mahkum Edildi
Yeni Qilin.B Ransomware Varyantı, Geliştirilmiş Şifreleme ve Kaçınma Taktikleriyle Ortaya Çıkıyor
Yeni Grandoreiro Bankacılık Kötü Amaçlı Yazılım Varyantları, Tespit Edilmekten Kaçınmak İçin Gelişmiş Taktiklerle Ortaya Çıkıyor
ABD, iki Sudanlı kardeşi 35.000 DDoS saldırısı için suçladı
Yeni Kötü Amaçlı Yazılım Kampanyası, DarkVision RAT Sunmak için PureCrypter Loader'ı Kullanıyor
FBI, Yaygın Kripto Piyasası Manipülasyonunu Ortaya Çıkarmak İçin Sahte Kripto Para Birimi Oluşturuyor
OpenAI, Siber Suç ve Dezenformasyon için Yapay Zekayı Kullanan 20 Küresel Kötü Amaçlı Kampanyayı Engelliyor
Oyuncular, sahte hile komut dosyası motorları aracılığıyla Lua tabanlı kötü amaçlı yazılımları indirmeleri için kandırıldı