Multi-License Discount Quote
Données concernant les menaces Backdoors Kazuar

Kazuar

Par GoldSparrow en Backdoors
Se traduisent par :
Français

Les chercheurs ont découvert un cheval de Troie de porte dérobée appelé Kazuar. Kazuar s'est avéré lié à une campagne d'espionnage et semble avoir été écrit avec Microsoft .NET Framework. Kazuar permet aux attaquants d'obtenir un accès complet à un système compromis.

Kazuar dispose de plusieurs fonctions et commandes potentielles, notamment la possibilité de charger des plugins à distance. Ces plugins confèrent au cheval de Troie de plus grandes capacités et en font une menace accrue. Il y avait également du code dans la souche observée qui suggérait qu'il existait des versions Linux et Mac de Kazuar dans le monde. Kazuar se démarque par le fait qu’il fonctionne via une interface de programmation d’application (API) connectée à un serveur Web, et il s’agit peut-être du premier – et du seul – virus à agir de cette manière.

Qui se cache derrière Kazuar ?

Les chercheurs pensent que Kazuar est lié à Turla , un groupe APT (Advanced Persistent Threat), également connu pour opérer sous les noms de Snake et Uroburos . Turla est connu pour ses capacités avancées et pour être un groupe de cybermenace de longue date basé en Russie avec des liens présumés avec le Service fédéral de sécurité russe (FSB). Le groupe cible les ambassades, les établissements d’enseignement, les sous-traitants de la défense et les organismes de recherche avec leurs attaques. Turla a une sorte de signature dans son code qui identifie les outils comme étant les leurs, et le code utilisé pour Kazuar remonte au moins à 2005.

Turla a utilisé un certain nombre d'outils à son époque, dont la plupart sont déployés lors de la deuxième étape des attaques dans des environnements compromis. Kazuar pourrait être une nouvelle façon pour le groupe Turla de gérer ses opérations.

Que fait Kazuar ?

Kazuar est un cheval de Troie de porte dérobée, qui constitue l'une des plus grandes catégories de menaces numériques. Les chevaux de Troie de porte dérobée peuvent être des programmes coûteux et complets dotés d'une gamme de fonctionnalités, ou il peut s'agir de programmes simples qui ne font rien d'autre que pinger un serveur. Kazuar, en particulier, du nom de l'oiseau casoar d'Asie du Sud-Est, est plutôt un cheval de Troie traditionnel par porte dérobée. Bien que Kazuar soit relativement basique, il possède certaines fonctionnalités cachées qui en font une menace plus importante que les chevaux de Troie de porte dérobée typiques comme PowerStallion ou Neuron .

Kazuar tente d'éviter d'être détecté alors que les pirates de Turla recueillent des renseignements auprès de leurs cibles. Même si Kazuar est une application .NET Framework, elle possède également des fonctionnalités qui la rendent compatible avec les systèmes Mac et Unix/Linux. Cependant, jusqu’à présent, seules des variantes de Windows ont été repérées dans la nature.

Jetez un œil au code de Kazuar et vous verrez à quel point le travail a été consacré à ce virus. Kazuar dispose d'une routine de configuration améliorée et est capable de s'adapter aux ordinateurs vulnérables en établissant la persistance via un certain nombre de méthodes. Le virus crée des DLL et exploite les services Windows et les fonctions .NET Framework pour rester sur un ordinateur. Une fois le virus opérationnel, il donnera à l’attaquant des informations sur l’ordinateur cible et lui permettra d’en prendre le contrôle. Les attaquants peuvent télécharger des fichiers, prendre des captures d'écran, activer des webcams, copier des données, lancer des fichiers exécutables et effectuer d'autres tâches via des modules facultatifs.

Cela vaut la peine de prendre note de la fonctionnalité API. Les virus comme celui-ci se connectent principalement aux serveurs de commande et de contrôle (serveurs C2) et attendent des instructions. Kazuar se distingue car il peut créer un serveur Web à l'écoute permanente qui aide le virus à éviter les détections de pare-feu et d'anti-malware.

Comment Kazuar infecte-t-il les ordinateurs ?

Le malware Kazuar infecte les ordinateurs par plusieurs méthodes différentes. Les plus courants sont les bundles de logiciels malveillants, le spam par courrier électronique, le partage réseau, les liens malveillants et l'accès aux lecteurs flash infectés. Kazuar est sûr de causer d’énormes dégâts une fois qu’il entrera sur votre ordinateur.

Les victimes ont déclaré avoir dû faire face à des pannes de disque dur, des pannes fréquentes, des applications corrompues, etc. Cela ne veut rien dire du préjudice réel que cela pourrait causer en termes de perte financière ou d’usurpation d’identité. Vous devez prendre des mesures pour vous protéger contre Kazuar et supprimer toute infection dès que possible.

Lors de l'infection d'un appareil ciblé, le malware Kazuar collectait des informations concernant le logiciel et le matériel de l'hôte infecté. De plus, la menace Kazuar générerait un mutex unique basé sur l'ID série du disque dur et le nom d'utilisateur de l'utilisateur actif. Cette étape de l'attaque sert à détecter s'il existe deux variantes du malware Kazuar en cours d'exécution sur l'ordinateur infecté. Une fois cette opération terminée, le malware Kazuar poursuivra l'attaque en gagnant en persistance sur l'hôte. Ceci est réalisé en modifiant le registre Windows du système. Ensuite, le malware Kazuar se connecterait au serveur C&C (Command & Control) de ses opérateurs et attendrait de recevoir des commandes de leur part. Parmi les principales caractéristiques du malware Kazuar figurent :

  • Prendre des captures d'écran des fenêtres et du bureau actifs de l'utilisateur.
  • Téléchargement de fichiers.
  • Téléchargement de fichiers.
  • Enregistrement d'images via la caméra du système.
  • Gestion des processus en cours.
  • Exécuter des commandes à distance.
  • Lister et gérer les plugins actifs de la menace.
  • Se mettre à jour ainsi que sa liste de serveurs C&C.
  • Autodestructeur.

Cette longue liste de fonctionnalités permet au malware Kazuar de causer des dommages importants à tout système qu'il parvient à infiltrer. Puisqu’il est probable que les créateurs de la menace Kazuar travaillent sur une itération de ce malware compatible OSX, encore plus d’utilisateurs seront en danger. Pour protéger votre système contre les parasites comme la menace Kazuar, assurez-vous de télécharger et d'installer une véritable suite logicielle anti-malware qui prendra soin de votre cybersécurité et protégera vos données.

Turla déploie une nouvelle variante de Kazuar contre des cibles en Ukraine

Depuis sa détection initiale en 2017, Kazuar est apparu sporadiquement dans la nature, affectant principalement les organisations des sphères gouvernementales et militaires européennes. Sa connexion avec la porte dérobée Sunburst , mise en évidence par des similitudes de code, souligne sa nature sophistiquée. Bien qu’aucun nouvel échantillon de Kazuar n’ait émergé depuis fin 2020, des rapports suggèrent des efforts de développement en cours dans l’ombre.

L'analyse du code Kazuar mis à jour met en évidence un effort concerté de la part de ses créateurs pour améliorer ses capacités furtives, échapper aux mécanismes de détection et contrecarrer les efforts d'analyse. Ceci est réalisé grâce à une gamme de méthodes anti-analyse avancées associées à des techniques robustes de cryptage et d’obscurcissement pour protéger l’intégrité du code malveillant.

La fonctionnalité de base de la nouvelle variante du logiciel malveillant Kazuar

À la manière typique de Turla, Kazuar utilise une stratégie consistant à utiliser des sites Web légitimes piratés pour son infrastructure de commandement et de contrôle (C2), évitant ainsi les retraits. De plus, Kazuar facilite la communication via des canaux nommés, en utilisant les deux méthodes pour recevoir des commandes ou des tâches à distance.

Kazuar prend en charge 45 tâches distinctes dans son framework C2, ce qui représente une avancée notable dans ses fonctionnalités par rapport aux versions précédentes. Les recherches antérieures n'avaient pas documenté certaines de ces tâches. En revanche, la variante initiale de Kazuar analysée en 2017 ne prenait en charge que 26 commandes C2.

La liste des commandes reconnues de Kazuar couvre diverses catégories, notamment :

  • Collecte de données d'hôte
  • Collecte étendue de données médico-légales
  • Manipulation de fichiers
  • Exécution de commandes arbitraires
  • Interagir avec les paramètres de configuration de Kazuar
  • Interroger et manipuler le registre Windows
  • Exécution de scripts (VBS, PowerShell, JavaScript)
  • Envoi de requêtes réseau personnalisées
  • Vol d’identifiants et d’informations sensibles

Le vol de données reste l’une des principales priorités de Turla

Kazuar possède la capacité de récolter les informations d'identification de divers artefacts au sein de l'ordinateur compromis, déclenchés par des commandes telles que « voler » ou « sans surveillance » reçues du serveur de commande et de contrôle (C2). Ces artefacts englobent de nombreuses applications cloud bien connues.

De plus, Kazuar peut cibler les fichiers sensibles contenant les informations d'identification associées à ces applications. Parmi les artefacts ciblés figurent Git SCM (un système de contrôle de source populaire parmi les développeurs) et Signal (une plateforme de messagerie cryptée pour les communications privées).

Lors de la création d'un thread de résolution unique, Kazuar lance automatiquement une tâche approfondie de profilage du système, surnommée « first_systeminfo_do » par ses créateurs. Cette tâche implique la collecte et le profilage approfondis du système ciblé. Kazuar rassemble des informations complètes sur la machine infectée, notamment des détails sur le système d'exploitation, les spécifications matérielles et la configuration du réseau.

Les données collectées sont stockées dans un fichier « info.txt », tandis que les journaux d'exécution sont enregistrés dans un fichier « logs.txt ». De plus, dans le cadre de cette tâche, le malware capture une capture d'écran de l'écran de l'utilisateur. Tous les fichiers collectés sont ensuite regroupés dans une seule archive, cryptés et envoyés au C2.

Kazuar établit plusieurs tâches automatisées sur les appareils infectés

Kazuar possède la capacité d'établir des procédures automatisées qui s'exécutent à des intervalles prédéfinis dans le but de récupérer des données sur des systèmes compromis. Ces tâches automatisées englobent une gamme de fonctions, notamment la collecte d'informations système complètes comme détaillé dans la section sur le profilage complet du système, la capture d'écran, l'extraction d'informations d'identification, la récupération de données médico-légales, l'acquisition de données d'exécution automatique, l'obtention de fichiers à partir de dossiers désignés, la compilation d'une liste de LNK et le vol d'e-mails grâce à l'utilisation de MAPI.

Ces fonctionnalités permettent à Kazuar d'effectuer une surveillance systématique et d'extraire des données des machines infectées, donnant ainsi aux acteurs malveillants une pléthore d'informations sensibles. En tirant parti de ces tâches automatisées, Kazuar rationalise le processus de reconnaissance et d'exfiltration de données, améliorant ainsi son efficacité en tant qu'outil de cyberespionnage et d'activités malveillantes.

Le logiciel malveillant Kazuar mis à jour est équipé de capacités anti-analyse étendues

Kazuar utilise une variété de techniques anti-analyse sophistiquées méticuleusement conçues pour échapper à la détection et à l’examen minutieux. Programmé par ses créateurs, Kazuar ajuste dynamiquement son comportement en fonction de la présence d'activités d'analyse. Lorsqu'il détermine qu'aucune analyse n'est en cours, Kazuar poursuit ses opérations. Cependant, s'il détecte une indication de débogage ou d'analyse, il entre immédiatement dans un état inactif, interrompant toute communication avec son serveur de commande et de contrôle (C2).

Antidumping

Étant donné que Kazuar fonctionne comme un composant injecté dans un autre processus plutôt que comme une entité autonome, la perspective d'extraire son code de la mémoire du processus hôte se profile. Pour contrecarrer cette vulnérabilité, Kazuar utilise habilement une fonctionnalité robuste de .NET, l'espace de noms System.Reflection. Cette capacité donne à Kazuar l'agilité nécessaire pour récupérer dynamiquement les métadonnées relatives à son assemblage, ses méthodes et d'autres éléments critiques en temps réel, renforçant ainsi ses défenses contre d'éventuelles tentatives d'extraction de code.

De plus, Kazuar implémente une mesure défensive en vérifiant si le paramètre antidump_methods est activé. Dans de tels cas, il remplace les pointeurs vers ses méthodes sur mesure tout en ignorant les méthodes génériques .NET, les effaçant ainsi de la mémoire. Comme le montre le message enregistré par Kazuar, cette approche proactive empêche les chercheurs d'extraire une version intacte du malware, améliorant ainsi sa résilience face à l'analyse et à la détection.

Vérification du pot de miel

Parmi ses tâches initiales, Kazuar recherche avec diligence tout signe d’artefacts de pot de miel sur la machine cible. Pour ce faire, il fait référence à une liste prédéfinie de noms de processus et de noms de fichiers, en utilisant une approche codée en dur. Si Kazuar rencontre plus de cinq instances de ces fichiers ou processus spécifiés, il enregistre rapidement la découverte comme indiquant la présence d'un pot de miel.

Vérification des outils d'analyse

Kazuar maintient une liste de noms prédéfinis représentant divers outils d'analyse largement utilisés. Il examine systématiquement la liste par rapport aux processus actifs sur le système. Dès qu'il détecte le fonctionnement de l'un de ces outils, Kazuar enregistre rapidement la découverte, indiquant la présence d'outils d'analyse.

Vérification du bac à sable

Kazuar possède un ensemble de bibliothèques sandbox prédéterminées codées en dur dans son système. Il effectue des analyses pour identifier les DLL spécifiques associées à divers services sandbox. En rencontrant ces fichiers, Kazuar conclut qu'il fonctionne dans un environnement de laboratoire, ce qui l'incite à cesser ses opérations.

Moniteur de journal d'événements

Kazuar rassemble et interprète systématiquement les événements enregistrés dans les journaux d'événements Windows. Il cible spécifiquement les événements provenant d’une sélection de fournisseurs de logiciels anti-malware et de sécurité. Cette orientation délibérée s'aligne sur sa stratégie de surveillance des activités associées aux produits de sécurité largement utilisés, dans l'hypothèse plausible que ces outils sont répandus parmi les cibles potentielles.

Le logiciel malveillant Kazuar continue de représenter une menace majeure dans l’espace numérique

La dernière variante du malware Kazuar, récemment identifiée dans la nature, présente plusieurs attributs notables. Il intègre des techniques robustes d’obscurcissement de code et de chaîne ainsi qu’un modèle multithread pour des performances améliorées. De plus, une série de systèmes de cryptage sont mis en œuvre pour protéger le code de Kazuar de l'analyse et dissimuler ses données, que ce soit en mémoire, pendant la transmission ou sur disque. Ces fonctionnalités visent collectivement à doter la porte dérobée Kazuar d’un niveau de furtivité accru.

De plus, cette itération du malware présente des fonctionnalités anti-analyse sophistiquées et des capacités étendues de profilage du système. Son ciblage spécifique des applications cloud est remarquable. De plus, cette version de Kazuar prend en charge un large éventail de plus de 40 commandes distinctes, dont la moitié n'étaient auparavant pas documentées par les chercheurs en cybersécurité.

Comment se protéger contre Kazuar

Comme pour tout type de menace, la principale chose que vous pouvez faire pour protéger votre ordinateur est d’éviter d’ouvrir les pièces jointes et les liens des e-mails. N'interagissez pas avec l'e-mail si vous ne savez pas d'où il vient. Assurez-vous également de sauvegarder régulièrement vos données les plus importantes. Il est également utile d'avoir plusieurs sauvegardes, car plus vous avez de sauvegardes, plus vous avez de chances de revenir à la normale en cas de Kazuar ou d'un autre malware.

Enfin et surtout, vous voulez vous assurer que tous vos programmes et applications sont à jour. N'oubliez pas de mettre à jour votre système d'exploitation trop régulièrement. Les menaces informatiques se développent grâce aux exploits des systèmes d'exploitation et des logiciels, alors ne les laissez pas persister.

Tendance

Le plus regardé

Chargement...