Turla, Tespitten Kurtulmak için Kazuar Arka Kapısını Gelişmiş Anti-Analiz ile Güncelliyor - Dünyadan Güncel Teknoloji Haberleri

Turla, Tespitten Kurtulmak için Kazuar Arka Kapısını Gelişmiş Anti-Analiz ile Güncelliyor - Dünyadan Güncel Teknoloji Haberleri

Güvenlik araştırmacıları Daniel Frank ve Tom Fakterman, “Kazuar’ın yükseltilmiş revizyonunun kodunun ortaya çıkardığı gibi, yazarlar Kazuar’ın gizlilik içinde çalışma, tespitten kaçma ve analiz çabalarını engelleme becerisine özel önem veriyorlar

“Bu proxy iletişimini şu şekilde yapıyor: adlandırılmış borular, adlarını makinenin GUID’sine göre oluşturuyor

Kazuar, güvenliği ihlal edilmiş ana bilgisayarlarla gizlice etkileşim kurma ve verileri dışarı çıkarma yetenekleri nedeniyle ilk kez 2017’de gün ışığına çıkan Bu çoklu iş parçacıklı model, Kazuar’ın yazarlarının eş zamanlı olmayan ve modüler bir akış kontrolü oluşturmasına olanak tanıyor ”

Dahası, kapsamlı anti-analiz işlevleri Kazuar’a yüksek derecede gizlilik kazandırarak onun boşta kalmasını ve hata ayıklanması veya analiz edilmesi durumunda tüm C2 iletişimini durdurmasını sağlar Buna, tespitten kaçınmak için güçlü gizleme ve özel dize şifreleme yöntemlerinin kullanımı da dahildir

Araştırmacılar, “C2 ile doğrudan HTTP iletişimine ek olarak Kazuar, bir proxy olarak işlev görme, virüslü ağdaki diğer Kazuar ajanlarına komut alma ve gönderme yeteneğine de sahip” dedi ”

En az 2004’ten beri aktif olan Dalgın Ursa, Rusya Federal Güvenlik Servisi’ne (FSB) atfediliyor Ocak 2021’de Kaspersky, kötü amaçlı yazılım türü ile 2020 SolarWinds saldırısıyla birlikte kullanılan bir başka arka kapı olan Sunburst arasındaki kaynak kodu çakışmalarını vurguladı ” söz konusu teknik bir raporda


01 Kasım 2023Haber odasıSiber Tehdit / Kötü Amaçlı Yazılım

Rusya bağlantılı hack ekibi şu şekilde biliniyor: Turla Kazuar olarak adlandırılan bilinen bir ikinci aşama arka kapının güncellenmiş bir versiyonu kullanılarak gözlemlendi Bu Temmuz ayının başlarında, Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), tehdit grubunun, DeliveryCheck ve Kazuar gibi arka kapılar aracılığıyla Ukrayna ve Doğu Avrupa’daki savunma sektörünü hedef alan saldırılara karıştığını tespit etti

Ayrıca sistem verilerini toplamak, ekran görüntüleri almak ve belirli klasörlerden dosya almak için belirli aralıklarla çalışacak otomatik görevleri ayarlama yeteneklerini de içerir

Araştırmacılar, “Kazuar çok iş parçacıklı bir modelde çalışırken, Kazuar’ın ana işlevlerinin her biri kendi iş parçacığı olarak çalışıyor” diye açıkladı Operasyonun arkasındaki tehdit aktörü şu anda bilinmiyor

Kazuar’da yapılan iyileştirmeler, operasyonun arkasındaki tehdit aktörünün saldırı yöntemlerini geliştirmeye ve karmaşıklığını artırmaya devam ederken, kurbanların sistemlerini kontrol etme yeteneğini de genişlettiğini gösteriyor

“Başka bir deyişle, bir iş parçacığı kendisinden komutların veya görevlerin alınmasını yönetir

Gelişme Kaspersky olarak geliyor açıklığa kavuşmuş Rusya’daki bir dizi devlet ve sanayi kuruluşunun, Haziran 2023’te başlayan hedef odaklı kimlik avı kampanyası kapsamında veri hırsızlığı gerçekleştiren Go tabanlı özel bir arka kapıyla hedef alındığı belirtildi NET tabanlı bir implanttır



siber-2

“Bunu çeşitli gelişmiş anti-analiz teknikleri kullanarak ve kötü amaçlı yazılım kodunu etkili şifreleme ve gizleme uygulamalarıyla koruyarak yapıyorlar C2 sunucularıyla iletişim HTTP üzerinden gerçekleşir [command-and-control], bir çözücü iş parçacığı ise bu komutların yürütülmesini yönetir ”

Kötü amaçlı yazılım, kapsamlı sistem profili oluşturmayı, veri toplamayı, kimlik bilgileri hırsızlığını, dosya manipülasyonunu ve keyfi komut yürütmeyi kolaylaştıran çok çeşitli özellikleri (2017’de 26 komuttan en son sürümde 45’e atlayarak) destekliyor Kazuar bu kanalları, farklı Kazuar örnekleri arasında eşler arası iletişim kurmak ve her birini bir sunucu veya istemci olarak yapılandırmak için kullanıyor

Yeni bulgular, düşmanı takımyıldızı temalı takma adı altında takip eden Palo Alto Networks Birim 42’den geliyor Dalgın Ursa