Turla, Tespitten Kurtulmak için Kazuar Arka Kapısını Gelişmiş Anti-Analiz ile Güncelliyor - Dünyadan Güncel Teknoloji Haberleri

Turla, Tespitten Kurtulmak için Kazuar Arka Kapısını Gelişmiş Anti-Analiz ile Güncelliyor - Dünyadan Güncel Teknoloji Haberleri

Araştırmacılar, “Kazuar çok iş parçacıklı bir modelde çalışırken, Kazuar’ın ana işlevlerinin her biri kendi iş parçacığı olarak çalışıyor” diye açıkladı ”

En az 2004’ten beri aktif olan Dalgın Ursa, Rusya Federal Güvenlik Servisi’ne (FSB) atfediliyor

Yeni bulgular, düşmanı takımyıldızı temalı takma adı altında takip eden Palo Alto Networks Birim 42’den geliyor Ocak 2021’de Kaspersky, kötü amaçlı yazılım türü ile 2020 SolarWinds saldırısıyla birlikte kullanılan bir başka arka kapı olan Sunburst arasındaki kaynak kodu çakışmalarını vurguladı Operasyonun arkasındaki tehdit aktörü şu anda bilinmiyor Kazuar bu kanalları, farklı Kazuar örnekleri arasında eşler arası iletişim kurmak ve her birini bir sunucu veya istemci olarak yapılandırmak için kullanıyor



siber-2

Bu Temmuz ayının başlarında, Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), tehdit grubunun, DeliveryCheck ve Kazuar gibi arka kapılar aracılığıyla Ukrayna ve Doğu Avrupa’daki savunma sektörünü hedef alan saldırılara karıştığını tespit etti

Kazuar, güvenliği ihlal edilmiş ana bilgisayarlarla gizlice etkileşim kurma ve verileri dışarı çıkarma yetenekleri nedeniyle ilk kez 2017’de gün ışığına çıkan

“Başka bir deyişle, bir iş parçacığı kendisinden komutların veya görevlerin alınmasını yönetir ” söz konusu teknik bir raporda

Kazuar’da yapılan iyileştirmeler, operasyonun arkasındaki tehdit aktörünün saldırı yöntemlerini geliştirmeye ve karmaşıklığını artırmaya devam ederken, kurbanların sistemlerini kontrol etme yeteneğini de genişlettiğini gösteriyor

Araştırmacılar, “C2 ile doğrudan HTTP iletişimine ek olarak Kazuar, bir proxy olarak işlev görme, virüslü ağdaki diğer Kazuar ajanlarına komut alma ve gönderme yeteneğine de sahip” dedi NET tabanlı bir implanttır

“Bunu çeşitli gelişmiş anti-analiz teknikleri kullanarak ve kötü amaçlı yazılım kodunu etkili şifreleme ve gizleme uygulamalarıyla koruyarak yapıyorlar ”

Dahası, kapsamlı anti-analiz işlevleri Kazuar’a yüksek derecede gizlilik kazandırarak onun boşta kalmasını ve hata ayıklanması veya analiz edilmesi durumunda tüm C2 iletişimini durdurmasını sağlar

Gelişme Kaspersky olarak geliyor açıklığa kavuşmuş Rusya’daki bir dizi devlet ve sanayi kuruluşunun, Haziran 2023’te başlayan hedef odaklı kimlik avı kampanyası kapsamında veri hırsızlığı gerçekleştiren Go tabanlı özel bir arka kapıyla hedef alındığı belirtildi

Güvenlik araştırmacıları Daniel Frank ve Tom Fakterman, “Kazuar’ın yükseltilmiş revizyonunun kodunun ortaya çıkardığı gibi, yazarlar Kazuar’ın gizlilik içinde çalışma, tespitten kaçma ve analiz çabalarını engelleme becerisine özel önem veriyorlar


01 Kasım 2023Haber odasıSiber Tehdit / Kötü Amaçlı Yazılım

Rusya bağlantılı hack ekibi şu şekilde biliniyor: Turla Kazuar olarak adlandırılan bilinen bir ikinci aşama arka kapının güncellenmiş bir versiyonu kullanılarak gözlemlendi

“Bu proxy iletişimini şu şekilde yapıyor: adlandırılmış borular, adlarını makinenin GUID’sine göre oluşturuyor Dalgın Ursa

Ayrıca sistem verilerini toplamak, ekran görüntüleri almak ve belirli klasörlerden dosya almak için belirli aralıklarla çalışacak otomatik görevleri ayarlama yeteneklerini de içerir Bu çoklu iş parçacıklı model, Kazuar’ın yazarlarının eş zamanlı olmayan ve modüler bir akış kontrolü oluşturmasına olanak tanıyor [command-and-control], bir çözücü iş parçacığı ise bu komutların yürütülmesini yönetir C2 sunucularıyla iletişim HTTP üzerinden gerçekleşir ”

Kötü amaçlı yazılım, kapsamlı sistem profili oluşturmayı, veri toplamayı, kimlik bilgileri hırsızlığını, dosya manipülasyonunu ve keyfi komut yürütmeyi kolaylaştıran çok çeşitli özellikleri (2017’de 26 komuttan en son sürümde 45’e atlayarak) destekliyor Buna, tespitten kaçınmak için güçlü gizleme ve özel dize şifreleme yöntemlerinin kullanımı da dahildir