Turla, Tespitten Kurtulmak için Kazuar Arka Kapısını Gelişmiş Anti-Analiz ile Güncelliyor - Dünyadan Güncel Teknoloji Haberleri

Turla, Tespitten Kurtulmak için Kazuar Arka Kapısını Gelişmiş Anti-Analiz ile Güncelliyor - Dünyadan Güncel Teknoloji Haberleri

Ayrıca sistem verilerini toplamak, ekran görüntüleri almak ve belirli klasörlerden dosya almak için belirli aralıklarla çalışacak otomatik görevleri ayarlama yeteneklerini de içerir Ocak 2021’de Kaspersky, kötü amaçlı yazılım türü ile 2020 SolarWinds saldırısıyla birlikte kullanılan bir başka arka kapı olan Sunburst arasındaki kaynak kodu çakışmalarını vurguladı

Kazuar’da yapılan iyileştirmeler, operasyonun arkasındaki tehdit aktörünün saldırı yöntemlerini geliştirmeye ve karmaşıklığını artırmaya devam ederken, kurbanların sistemlerini kontrol etme yeteneğini de genişlettiğini gösteriyor Buna, tespitten kaçınmak için güçlü gizleme ve özel dize şifreleme yöntemlerinin kullanımı da dahildir

“Bunu çeşitli gelişmiş anti-analiz teknikleri kullanarak ve kötü amaçlı yazılım kodunu etkili şifreleme ve gizleme uygulamalarıyla koruyarak yapıyorlar

Kazuar, güvenliği ihlal edilmiş ana bilgisayarlarla gizlice etkileşim kurma ve verileri dışarı çıkarma yetenekleri nedeniyle ilk kez 2017’de gün ışığına çıkan Kazuar bu kanalları, farklı Kazuar örnekleri arasında eşler arası iletişim kurmak ve her birini bir sunucu veya istemci olarak yapılandırmak için kullanıyor

Güvenlik araştırmacıları Daniel Frank ve Tom Fakterman, “Kazuar’ın yükseltilmiş revizyonunun kodunun ortaya çıkardığı gibi, yazarlar Kazuar’ın gizlilik içinde çalışma, tespitten kaçma ve analiz çabalarını engelleme becerisine özel önem veriyorlar ”

Dahası, kapsamlı anti-analiz işlevleri Kazuar’a yüksek derecede gizlilik kazandırarak onun boşta kalmasını ve hata ayıklanması veya analiz edilmesi durumunda tüm C2 iletişimini durdurmasını sağlar Dalgın Ursa

Gelişme Kaspersky olarak geliyor açıklığa kavuşmuş Rusya’daki bir dizi devlet ve sanayi kuruluşunun, Haziran 2023’te başlayan hedef odaklı kimlik avı kampanyası kapsamında veri hırsızlığı gerçekleştiren Go tabanlı özel bir arka kapıyla hedef alındığı belirtildi


01 Kasım 2023Haber odasıSiber Tehdit / Kötü Amaçlı Yazılım

Rusya bağlantılı hack ekibi şu şekilde biliniyor: Turla Kazuar olarak adlandırılan bilinen bir ikinci aşama arka kapının güncellenmiş bir versiyonu kullanılarak gözlemlendi

“Başka bir deyişle, bir iş parçacığı kendisinden komutların veya görevlerin alınmasını yönetir ”

En az 2004’ten beri aktif olan Dalgın Ursa, Rusya Federal Güvenlik Servisi’ne (FSB) atfediliyor Bu çoklu iş parçacıklı model, Kazuar’ın yazarlarının eş zamanlı olmayan ve modüler bir akış kontrolü oluşturmasına olanak tanıyor NET tabanlı bir implanttır

“Bu proxy iletişimini şu şekilde yapıyor: adlandırılmış borular, adlarını makinenin GUID’sine göre oluşturuyor C2 sunucularıyla iletişim HTTP üzerinden gerçekleşir [command-and-control], bir çözücü iş parçacığı ise bu komutların yürütülmesini yönetir



siber-2

Bu Temmuz ayının başlarında, Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), tehdit grubunun, DeliveryCheck ve Kazuar gibi arka kapılar aracılığıyla Ukrayna ve Doğu Avrupa’daki savunma sektörünü hedef alan saldırılara karıştığını tespit etti Operasyonun arkasındaki tehdit aktörü şu anda bilinmiyor

Araştırmacılar, “C2 ile doğrudan HTTP iletişimine ek olarak Kazuar, bir proxy olarak işlev görme, virüslü ağdaki diğer Kazuar ajanlarına komut alma ve gönderme yeteneğine de sahip” dedi

Araştırmacılar, “Kazuar çok iş parçacıklı bir modelde çalışırken, Kazuar’ın ana işlevlerinin her biri kendi iş parçacığı olarak çalışıyor” diye açıkladı

Yeni bulgular, düşmanı takımyıldızı temalı takma adı altında takip eden Palo Alto Networks Birim 42’den geliyor ” söz konusu teknik bir raporda ”

Kötü amaçlı yazılım, kapsamlı sistem profili oluşturmayı, veri toplamayı, kimlik bilgileri hırsızlığını, dosya manipülasyonunu ve keyfi komut yürütmeyi kolaylaştıran çok çeşitli özellikleri (2017’de 26 komuttan en son sürümde 45’e atlayarak) destekliyor