Kazuar
Los investigadores han descubierto un troyano de puerta trasera llamado Kazuar. Se descubrió que Kazuar estaba vinculado a una campaña de espionaje y parece estar escrito con Microsoft .NET Framework. Kazuar permite a los atacantes obtener acceso completo a un sistema comprometido.
Kazuar tiene varias funciones y comandos potenciales, incluida la capacidad de cargar complementos de forma remota. Estos complementos otorgan al troyano mayores capacidades y lo convierten en una amenaza mayor. También había un código en la cepa observada que sugería que había versiones de Kazuar para Linux y Mac en el mundo. Una cosa que destaca de Kazuar es que funciona a través de una interfaz de programación de aplicaciones (API) conectada a un servidor web, y puede que sea el primer (y único) virus que actúa de esa manera.
Tabla de contenido
¿Quién está detrás de Kazuar?
Los investigadores creen que Kazuar está vinculado a Turla , un grupo APT (Advanced Persistent Threat), también conocido por operar bajo los nombres Snake y Uroburos . Turla es conocida por sus capacidades avanzadas y por ser un grupo de amenazas cibernéticas con sede en Rusia desde hace mucho tiempo y con presuntos vínculos con el Servicio Federal de Seguridad de Rusia (FSB). El grupo ataca con sus ataques a embajadas, instituciones educativas, contratistas de defensa y organizaciones de investigación. Turla tiene una especie de firma en su código que identifica las herramientas como suyas, y el código utilizado para Kazuar se remonta al menos a 2005.
Turla ha utilizado una serie de herramientas en su momento, la mayoría de las cuales se implementan en la segunda etapa de los ataques dentro de entornos comprometidos. Kazuar podría ser una nueva forma en que el grupo Turla esté manejando sus operaciones.
¿Qué hace Kazuar?
Kazuar es un troyano de puerta trasera, que constituye una de las mayores categorías de amenazas digitales. Los troyanos de puerta trasera pueden ser programas costosos y completos con una variedad de capacidades, o pueden ser programas simples que no hacen más que hacer ping a un servidor. Kazuar, en particular, llamado así por el ave casuario del sudeste asiático, es más bien un troyano tradicional de puerta trasera. Si bien Kazuar es relativamente básico, tiene algunas características ocultas que lo convierten en una amenaza mayor que los típicos troyanos de puerta trasera como PowerStallion o Neuron .
Kazuar se propone evitar ser detectado mientras los piratas informáticos de Turla recopilan información de sus objetivos. Aunque Kazuar es una aplicación .NET Framework, también tiene características que la hacen compatible con sistemas Mac y Unix/Linux. Sin embargo, hasta ahora sólo se han detectado variantes de Windows en libertad.
Eche un vistazo al código de Kazuar y verá cuánto trabajo se puso en este virus. Kazuar tiene una rutina de configuración mejorada y puede adaptarse a computadoras vulnerables estableciendo persistencia a través de varios métodos. El virus crea archivos DLL y explota los servicios de Windows y las funciones de .NET Framework para permanecer en una computadora. Una vez que el virus esté en funcionamiento, le dará al atacante información sobre la computadora objetivo y le permitirá tomar el control. Los atacantes pueden cargar archivos, tomar capturas de pantalla, activar cámaras web, copiar datos, iniciar archivos ejecutables y realizar otras tareas a través de módulos opcionales.
Vale la pena tomar nota de la función API. Los virus como este se conectan principalmente a servidores de comando y control (servidores C2) y esperan instrucciones. Kazuar se destaca porque puede crear un servidor web siempre atento que ayuda al virus a evitar firewalls y detecciones antimalware.
¿Cómo infecta Kazuar las computadoras?
El malware Kazuar infecta computadoras mediante varios métodos diferentes. Los más comunes son paquetes de software malicioso, correo no deseado, uso compartido de redes, enlaces maliciosos y acceso a unidades flash infectadas. Kazuar seguramente causará una gran cantidad de daño una vez que llegue a su computadora.
Las víctimas informaron haber tenido que lidiar con fallas del disco duro, fallas frecuentes, aplicaciones corruptas y más. Eso sin mencionar el daño real que podría causar en términos de pérdida financiera o robo de identidad. Debe tomar medidas para protegerse contra Kazuar y eliminar cualquier infección lo antes posible.
Al infectar un dispositivo específico, el malware Kazuar recopilaría información sobre el software y hardware del host infectado. Además, la amenaza Kazuar generaría un mutex único basado en el ID de serie del disco duro y el nombre de usuario del usuario activo. Este paso del ataque sirve para detectar si hay dos variantes del malware Kazuar ejecutándose en el ordenador infectado. Una vez completado esto, el malware Kazuar continuará con el ataque ganando persistencia en el host. Esto se logra modificando el Registro de Windows del sistema. A continuación, el malware Kazuar se conectaría al servidor C&C (Comando y Control) de sus operadores y esperaría a que estos le dieran órdenes. Entre las principales características del malware Kazuar se encuentran:
- Tomar capturas de pantalla de las ventanas y el escritorio activos del usuario.
- Descargando archivos.
- Subiendo archivos.
- Grabación de imágenes a través de la cámara del sistema.
- Gestión de procesos en ejecución.
- Ejecutar comandos remotos.
- Listado y gestión de complementos activos de la amenaza.
Esta larga lista de capacidades permite que el malware Kazuar cause daños significativos a cualquier sistema en el que logre infiltrarse. Dado que es probable que los creadores de la amenaza Kazuar estén trabajando en una versión de este malware compatible con OSX, aún más usuarios estarán en riesgo. Para proteger su sistema de plagas como la amenaza Kazuar, asegúrese de descargar e instalar un paquete de software antimalware genuino que se encargará de su ciberseguridad y mantendrá sus datos seguros.
Turla implementa la nueva variante Kazuar contra objetivos en Ucrania
Desde su detección inicial en 2017, Kazuar ha aparecido esporádicamente en la naturaleza, afectando principalmente a organizaciones dentro de las esferas gubernamentales y militares europeas. Su conexión con la puerta trasera Sunburst , evidenciada por las similitudes de código, subraya su naturaleza sofisticada. Si bien no han surgido nuevas muestras de Kazuar desde finales de 2020, los informes sugirieron que se están realizando esfuerzos de desarrollo en la sombra.
El análisis del código actualizado de Kazuar destaca un esfuerzo concertado por parte de sus creadores para mejorar sus capacidades de sigilo, evadir mecanismos de detección y frustrar los esfuerzos de análisis. Esto se logra mediante una variedad de métodos antianálisis avanzados junto con técnicas sólidas de cifrado y ofuscación para salvaguardar la integridad del código malicioso.
La funcionalidad principal de la nueva variante de malware Kazuar
Al estilo típico de Turla, Kazuar emplea una estrategia de utilizar sitios web legítimos secuestrados para su infraestructura de Comando y Control (C2), evadiendo así los derribos. Además, Kazuar facilita la comunicación a través de canalizaciones con nombre, utilizando ambos métodos para recibir comandos o tareas remotas.
Kazuar cuenta con soporte para 45 tareas distintas dentro de su marco C2, lo que representa un avance notable en su funcionalidad en comparación con versiones anteriores. Investigaciones anteriores no habían documentado algunas de estas tareas. Por el contrario, la variante inicial de Kazuar analizada en 2017 solo admitía 26 comandos C2.
La lista de comandos reconocidos de Kazuar abarca varias categorías, que incluyen:
- Recopilación de datos del host
- Recopilación ampliada de datos forenses
- Manipulación de archivos
- Ejecución de comandos arbitrarios.
- Interactuar con los ajustes de configuración de Kazuar
El robo de datos sigue siendo una de las principales prioridades de Turla
Kazuar posee la capacidad de recopilar credenciales de varios artefactos dentro de la computadora comprometida, activadas por comandos como "robar" o "desatendido" recibidos del servidor de Comando y Control (C2). Estos artefactos abarcan numerosas aplicaciones en la nube bien conocidas.
Además, Kazuar puede apuntar a archivos confidenciales que contengan credenciales asociadas con estas aplicaciones. Entre los artefactos objetivo se encuentran Git SCM (un sistema de control de fuente popular entre los desarrolladores) y Signal (una plataforma de mensajería cifrada para comunicaciones privadas).
Al generar un hilo de resolución único, Kazuar inicia automáticamente una extensa tarea de creación de perfiles del sistema, denominada 'first_systeminfo_do' por sus creadores. Esta tarea implica la recopilación y elaboración de perfiles exhaustivos del sistema de destino. Kazuar recopila información completa sobre la máquina infectada, incluidos detalles sobre el sistema operativo, especificaciones de hardware y configuración de red.
Los datos recopilados se almacenan en un archivo 'info.txt', mientras que los registros de ejecución se guardan en un archivo 'logs.txt'. Además, como parte de esta tarea, el malware captura una captura de pantalla de la pantalla del usuario. Luego, todos los archivos recopilados se agrupan en un único archivo, se cifran y se envían al C2.
Kazuar establece múltiples tareas automatizadas en los dispositivos infectados
Kazuar posee la capacidad de establecer procedimientos automatizados que se ejecutan a intervalos predefinidos con el fin de recuperar datos de sistemas comprometidos. Estas tareas automatizadas abarcan una variedad de funciones, incluida la recopilación de información completa del sistema como se detalla en la sección sobre Perfiles completos del sistema, captura de pantalla, extracción de credenciales, recuperación de datos forenses, adquisición de datos de ejecución automática, obtención de archivos de carpetas designadas, compilación de una lista de Archivos LNK y robo de correos electrónicos mediante el uso de MAPI.
Estas funcionalidades permiten a Kazuar realizar vigilancia sistemática y extracción de datos de máquinas infectadas, brindando a los actores maliciosos una gran cantidad de información confidencial. Al aprovechar estas tareas automatizadas, Kazuar agiliza el proceso de reconocimiento y exfiltración de datos, mejorando su eficacia como herramienta para el ciberespionaje y la actividad maliciosa.
El malware Kazuar actualizado está equipado con amplias capacidades antianálisis
Kazuar emplea una variedad de sofisticadas técnicas anti-análisis diseñadas meticulosamente para evadir la detección y el escrutinio. Programado por sus creadores, Kazuar ajusta dinámicamente su comportamiento en función de la presencia de actividades de análisis. Cuando determina que no hay ningún análisis en marcha, Kazuar continúa con sus operaciones. Sin embargo, si detecta algún indicio de depuración o análisis, inmediatamente entra en un estado inactivo, deteniendo toda comunicación con su servidor de Comando y Control (C2).
Antidumping
Dado que Kazuar opera como un componente inyectado dentro de otro proceso en lugar de como una entidad autónoma, surge la posibilidad de extraer su código de la memoria del proceso anfitrión. Para contrarrestar esta vulnerabilidad, Kazuar hace un uso experto de una característica sólida dentro de .NET, el espacio de nombres System.Reflection. Esta capacidad otorga a Kazuar la agilidad de recuperar metadatos relacionados con su ensamblaje, métodos dinámicamente y otros elementos críticos en tiempo real, fortaleciendo sus defensas contra posibles esfuerzos de extracción de código.
Además, Kazuar implementa una medida defensiva al examinar si la configuración antidump_methods está habilitada. En tales casos, anula los punteros a sus métodos personalizados sin tener en cuenta los métodos .NET genéricos, borrándolos efectivamente de la memoria. Como lo demuestra el mensaje registrado de Kazuar, este enfoque proactivo sirve para impedir que los investigadores extraigan una versión intacta del malware, mejorando así su resistencia al análisis y la detección.
cheque de miel
Entre sus tareas iniciales, Kazuar escanea diligentemente en busca de signos de artefactos de honeypot en la máquina de destino. Para lograr esto, hace referencia a una lista predefinida de nombres de procesos y archivos, empleando un enfoque codificado. Si Kazuar encuentra más de cinco instancias de estos archivos o procesos especificados, registra rápidamente el descubrimiento como indicativo de la presencia de un honeypot.
Verificación de herramientas de análisis
Kazuar mantiene una lista de nombres predefinidos que representan varias herramientas de análisis ampliamente utilizadas. Revisa sistemáticamente la lista comparándola con los procesos activos en el sistema. Al detectar el funcionamiento de cualquiera de estas herramientas, Kazuar registra rápidamente el hallazgo, indicando la presencia de herramientas de análisis.
Comprobación de zona de pruebas
Kazuar posee un conjunto de bibliotecas sandbox predeterminadas codificadas en su sistema. Realiza escaneos para identificar archivos DLL específicos asociados con varios servicios de espacio aislado. Al encontrar estos archivos, Kazuar concluye que se está ejecutando en un entorno de laboratorio, lo que le llevó a detener sus operaciones.
Monitor de registro de eventos
Kazuar recopila e interpreta sistemáticamente los eventos registrados en los registros de eventos de Windows. Se dirige específicamente a eventos que se originan en una selección de proveedores de seguridad y antimalware. Este enfoque deliberado se alinea con su estrategia de monitorear las actividades asociadas con productos de seguridad ampliamente utilizados bajo el supuesto plausible de que estas herramientas prevalecen entre los objetivos potenciales.
El malware Kazuar sigue representando una gran amenaza en el espacio digital
La última variante del malware Kazuar, identificada recientemente en la naturaleza, presenta varios atributos notables. Incorpora código robusto y técnicas de ofuscación de cadenas junto con un modelo multiproceso para mejorar el rendimiento. Además, se implementa una variedad de esquemas de cifrado para proteger el código de Kazuar del análisis y ocultar sus datos, ya sea en la memoria, durante la transmisión o en el disco. Estas características en conjunto tienen como objetivo dotar a la puerta trasera Kazuar de un mayor nivel de sigilo.
Además, esta iteración del malware exhibe sofisticadas funcionalidades antianálisis y amplias capacidades de creación de perfiles del sistema. Es destacable su orientación específica a las aplicaciones en la nube. Además, esta versión de Kazuar cuenta con soporte para una amplia gama de más de 40 comandos distintos, la mitad de ellos no documentados previamente por investigadores de ciberseguridad.
Cómo protegerse contra Kazuar
Como ocurre con cualquier tipo de amenaza, lo principal que puede hacer para proteger su computadora es evitar abrir archivos adjuntos y enlaces de correo electrónico. No interactúes con el correo electrónico si no sabes de dónde proviene. Además, asegúrese de hacer una copia de seguridad de sus datos más importantes con regularidad. También es útil tener varias copias de seguridad, ya que cuantas más copias de seguridad tenga, mayores serán sus posibilidades de que todo vuelva a la normalidad en caso de Kazuar u otro malware.
Por último, pero no menos importante, desea asegurarse de que todos sus programas y aplicaciones estén actualizados. No olvide actualizar su sistema operativo con demasiada regularidad. Las amenazas informáticas prosperan a través de exploits en los sistemas operativos y el software, así que no permita que se prolonguen.
