Yükseltilmiş Kazuar Arka Kapısı Gizli Güç Sunuyor - Dünyadan Güncel Teknoloji Haberleri

Yükseltilmiş Kazuar Arka Kapısı Gizli Güç Sunuyor - Dünyadan Güncel Teknoloji Haberleri
Benzer şekilde Sunburst, SolarWinds’in yaygın olarak kullanılan Orion BT yönetim teklifinin dijital olarak imzalanmış bir bileşeni olarak çalışarak standart HTTP bağlantılarını kullanarak diğer Web sunucularıyla iletişim kurabilen bir arka kapı Truva Atı’dır “Hem Kazuar hem de Sunburst, C2 sunucusuna olan bağlantılar arasında muhtemelen ağ etkinliğini daha az belirgin hale getirmek için tasarlanmış bir gecikme uyguladı

Faou, “Kazuar, Turla’nın geçmişte çokça kullandığı (Carbon, ComRAT ve Gazer gibi) karmaşık implantların tipik bir örneğidir” diyor

Bazıları Güneş Patlamasıyla Örtüşüyor

Ocak 2021’de Kaspersky, Kazuar’da arka kapı Sunburst ile örtüşen bazı özellikler bulduğunu bildirdi “Yıllarca süren bir aradan sonra ortaya çıkan bu son değişkene ilişkin teknik analizimiz, kod yapısında ve işlevselliğinde önemli gelişmeler olduğunu gösterdi ”

ESET’te kıdemli kötü amaçlı yazılım araştırmacısı Matthieu Faou da Unit 42’nin bulgularıyla aynı fikirde NET çerçevesini temel alan Kazuar, son yıllarda gelişmiş kalıcı tehdit (APT) casusluk kampanyalarıyla ilişkilendirildi

Araştırmacılara göre Kazuar, saldırganların sistemlere erişmesini ve veri sızdırmasını sağlayan bir komuta ve kontrol kanalı (C2) kullanıyor ESET, Aralık 2021’de bir Güney Amerika ülkesinin Dışişleri Bakanlığı’nda benzer bir Kazuar kötü amaçlı yazılım örneğinin kullanıldığını gözlemledi

Palo Alto Networks’ün 42 “Gizliliği ihlal edilmiş WordPress web sitelerini C2 sunucuları olarak kullanıyor ve bu da grup için oldukça tipik bir durum ”

Kazuar’ın Genişletilmiş Yetenekleri

Tehdit araştırmacıları, Kazuar’ın Turla tarafından 2017’de ve 2020’de kullanıldığını keşfettiklerinden bu yana, bunu son altı yıl içinde başta askeriye ve Avrupa devlet kurumlarına karşı olmak üzere yalnızca birkaç senaryoda tespit edebildiler Mayıs 2017 tarihli danışma belgesinde belirtildiği gibi, Birim 42 araştırmacıları Kazuar’ı, yerleşik bir Web sunucusuna API erişimi olan çok platformlu bir casusluk arka kapı Truva Atı olarak tanımladı NET tabanlı Kazuar, saldırganların Truva Atı’na genişletilmiş yetenekler sağlayan eklentileri uzaktan yüklemesine olanak tanıyan gelişmiş bir komut dizisine sahiptir Dalgın Ursa (diğer adıyla Turla Grup, Yılan, Uroburos ve Zehirli Ayı)ile bağlantılıdır Rusya Federal Güvenlik Servisi (FSB) ve 2004 yılına kadar uzanan bir izi var

Tehdit araştırmacıları Daniel Frank ve Tom Fakternan, Birim 42’nin raporunda şöyle açıklıyor: “Ukraynalı CERT’in bildirdiği son kampanya, Kazuar’ın çok aşamalı dağıtım mekanizmasını ve yeni Capibar birinci aşama arka kapısı gibi diğer araçları ortaya çıkardı Ukrayna CERT Unit 42 analizine göre Temmuz ayında saldırganların mesajlar, kaynak kontrolü ve bulut platformu verileri dahil olmak üzere hassas varlıkları aradığı bildirildi HTTP, HTTPS, FTP veya FTPS dahil olmak üzere birden fazla protokolü kullanabilir tespit edilmesi daha zor ve artık analiz ve kötü amaçlı yazılımlara karşı koruma araçlarını engellerken gizlice çalışabiliyor

En son Ukrayna saldırılarında, tarafından yayınlanan bir tavsiye belgesiyle doğrulandı ”



siber-1

bir ay önce keşfedildi FireEye (şu anda Google’ın Mandiant’ı) tarafından geniş kapsamlı SolarWinds tedarik zinciri saldırısında kullanıldı ” Kaspersky araştırmacıları açıkladı Ünite 42 araştırmacıları ayrıca aracın Mac veya Unix versiyonunun kanıtını da keşfettiler



Nispeten belirsiz ancak “son derece işlevsel” bir arka kapı Truva Atı olan Kazuar’ın geliştirilmiş bir yinelemesi, onun yeteneklerini artırdı Microsoft’un ” en erken olanlar arasındaydı Kazuar’ı keşfetmek için, 2017’de

“Sunburst ve Kazuar arasındaki bir dizi alışılmadık, paylaşılan özellikler arasında kurban UID oluşturma algoritması, uyku algoritması ve FNV-1a karma değerinin kapsamlı kullanımı yer alıyor Birim tehdit istihbaratı araştırmacılarına göre bu hafta uyardı Rusya destekli APT Dalgın Ursa adını verdiği şey zaten kullanılmış Kazuar’ın yeni versiyonu Ukrayna’nın savunma sektörünü hedef alacak