Rusya bağlantılı hack ekibi şu şekilde biliniyor: Kule Kazuar olarak adlandırılan bilinen bir ikinci aşama arka kapının güncellenmiş bir versiyonu kullanılarak gözlemlendi.
Yeni bulgular, düşmanı takımyıldızı temalı takma adı altında takip eden Palo Alto Networks Birim 42’den geliyor. Dalgın Ursa.
Güvenlik araştırmacıları Daniel Frank ve Tom Fakterman teknik bir raporda, “Kazuar’ın yükseltilmiş revizyonunun kodunun da ortaya koyduğu gibi, yazarlar Kazuar’ın gizlilik içinde çalışma, tespitten kaçma ve analiz çabalarını engelleme becerisine özel önem veriyorlar” dedi.
“Bunu çeşitli gelişmiş anti-analiz teknikleri kullanarak ve kötü amaçlı yazılım kodunu etkili şifreleme ve gizleme uygulamalarıyla koruyarak yapıyorlar.”
En az 2004’ten beri aktif olan Dalgın Ursa, Rusya Federal Güvenlik Servisi’ne (FSB) atfediliyor. Bu Temmuz ayının başlarında, Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), tehdit grubunun, DeliveryCheck ve Kazuar gibi arka kapılar aracılığıyla Ukrayna ve Doğu Avrupa’daki savunma sektörünü hedef alan saldırılara karıştığını tespit etti.
Kazuar, güvenliği ihlal edilmiş ana bilgisayarlarla gizlice etkileşim kurma ve verileri dışarı çıkarma yetenekleri nedeniyle ilk kez 2017’de gün ışığına çıkan .NET tabanlı bir implanttır. Ocak 2021’de Kaspersky, kötü amaçlı yazılım türü ile 2020 SolarWinds saldırısıyla birlikte kullanılan bir başka arka kapı olan Sunburst arasındaki kaynak kodu çakışmalarını vurguladı.
Kazuar’da yapılan iyileştirmeler, operasyonun arkasındaki tehdit aktörünün saldırı yöntemlerini geliştirmeye ve karmaşıklığını artırmaya devam ederken, kurbanların sistemlerini kontrol etme yeteneğini de genişlettiğini gösteriyor. Buna, tespitten kaçınmak için güçlü gizleme ve özel dize şifreleme yöntemlerinin kullanımı da dahildir.
Araştırmacılar, “Kazuar çok iş parçacıklı bir modelde çalışırken, Kazuar’ın ana işlevlerinin her biri kendi iş parçacığı olarak çalışıyor” diye açıkladı.
“Başka bir deyişle, bir iş parçacığı kendisinden komutların veya görevlerin alınmasını yönetir. [command-and-control], bir çözücü iş parçacığı ise bu komutların yürütülmesini yönetir. Bu çoklu iş parçacıklı model, Kazuar’ın yazarlarının eş zamanlı olmayan ve modüler bir akış kontrolü oluşturmasına olanak tanıyor.”
Kötü amaçlı yazılım, kapsamlı sistem profili oluşturmayı, veri toplamayı, kimlik bilgileri hırsızlığını, dosya manipülasyonunu ve keyfi komut yürütmeyi kolaylaştıran çok çeşitli özellikleri (2017’de 26 komuttan en son sürümde 45’e atlayarak) destekliyor.
Ayrıca sistem verilerini toplamak, ekran görüntüleri almak ve belirli klasörlerden dosya almak için belirli aralıklarla çalışacak otomatik görevleri ayarlama yeteneklerini de içerir. C2 sunucularıyla iletişim HTTP üzerinden gerçekleşir.
Araştırmacılar, “C2 ile doğrudan HTTP iletişimine ek olarak Kazuar, bir proxy olarak işlev görme, virüslü ağdaki diğer Kazuar ajanlarına komut alma ve gönderme yeteneğine de sahip” dedi.
“Bu proxy iletişimini, adlandırılmış kanallar aracılığıyla yapıyor ve adlarını makinenin GUID’sine göre oluşturuyor. Kazuar bu kanalları, farklı Kazuar örnekleri arasında eşler arası iletişim kurmak için kullanıyor ve her birini bir sunucu veya istemci olarak yapılandırıyor.”
Dahası, kapsamlı anti-analiz işlevleri Kazuar’a yüksek derecede gizlilik kazandırarak onun boşta kalmasını ve hata ayıklanması veya analiz edilmesi durumunda tüm C2 iletişimini durdurmasını sağlar.
Bu gelişme, Kaspersky’nin, Haziran 2023’te başlayan hedef odaklı kimlik avı kampanyasının bir parçası olarak veri hırsızlığı gerçekleştiren özel Go tabanlı bir arka kapıyla Rusya’daki bir dizi devlet ve sanayi kuruluşunun hedef alındığını açıklamasının ardından geldi. Operasyonun arkasındaki tehdit aktörü: şu anda bilinmiyor.