Hedefli siber saldırılarla tanınan gelişmiş bir tehdit aktörü olan Turla, Kazuar v3 yükleyicisinin, modern güvenlik savunmalarını aşmak için tasarlanmış gelişmiş kaçınma teknikleri sunan yükseltilmiş bir versiyonunu konuşlandırdı.
Ocak 2026’da keşfedilen bu son yineleme, grubun kötü amaçlı yazılım yeteneklerinde dikkate değer bir evrimi gözler önüne seriyor.
Kötü amaçlı yazılım, görünüşte zararsız bir VBScript ile başlayan ve daha sonra yerel bir yükleyici ve birkaç şifrelenmiş Kazuar yükünü dağıtan çok aşamalı bir enfeksiyon zinciri üzerinden çalışıyor.
Bu mimari, saldırganların Windows’un dahili bileşenlerini derinlemesine anladığını ve yasal sistem süreçlerini kötü amaçlarla manipüle etme yeteneklerini gösteriyor.
Enfeksiyon, 8RWRLT.vbs olarak izlenen bir VBScript dosyasının Ukrayna’da 185.126.255.132 adresinde barındırılan bir komut ve kontrol sunucusundan birden fazla bileşen indirmesiyle başlıyor.
İlk aşamada, DLL dışarıdan yükleme olarak bilinen bir teknikle birlikte yürütülen, kötü amaçlı bir DLL’nin yanı sıra meşru bir Hewlett-Packard yazıcı sürücüsü yükleyicisi dağıtılır.
Komut dosyası daha sonra Windows COM alt sistemi içinde yürütülen birden fazla şifrelenmiş veri oluşturur ve saldırganın tespitten kaçarken kalıcılığını korumasına olanak tanır.
Bu kampanyanın arkasındaki altyapı, ESET’in daha önce Gamaredon ve Turla iş birliğine ilişkin analizinde belgelediği taktikleri yansıtıyor ve farklı tehdit aktörü grupları arasında devam eden koordinasyonu akla getiriyor.
Güvenlik analisti Dominik Reichel, kötü amaçlı yazılım örnekleri üzerinde dikkatli bir şekilde tersine mühendislik uygulandıktan sonra bu karmaşık saldırı zincirini tespit etti ve belgeledi.
.webp)
Analizi, tehdit aktörlerinin yürütme mantığını doğrudan Windows COM alt sistemine yerleştirdiğini ve böylece kötü amaçlı yazılımın meşru sistem etkileşimleri gibi görünmesine olanak sağladığını ortaya çıkardı.
Bu keşif, gelişmiş tehdit gruplarının hem geleneksel antivirüs çözümlerini hem de modern uç nokta algılama sistemlerini atlatmak için kaçınma yöntemlerini nasıl geliştirmeye devam ettiğini vurguluyor.
Donanım Kesme Noktaları ve Sistem Entegrasyonu Yoluyla Tespitten Kaçınma
Turla’nın Kazuar v3 yükleyicisinin en dikkat çekici yönü, Windows sistemlerini koruyan iki ana izleme sistemi olan Windows için Olay İzleme (ETW) ve Kötü Amaçlı Yazılım Önleme Tarama Arayüzü (AMSI) için yamasız geçişlerin uygulanmasında yatmaktadır.
Kötü amaçlı yazılım, diskteki kodu değiştirmek yerine, geleneksel kod yamalarını bırakmadan güvenlik işlevi çağrılarını engellemek için donanım kesme noktası kancasını kullanıyor.
Teknik, iki kritik işlevi izleyen vektörlü bir istisna işleyicisinin kaydedilmesiyle çalışır: ETW için NtTraceControl ve AMSI için AmsiScanBuffer.
Kötü amaçlı yazılım bu işlevler üzerinde donanım kesme noktaları belirlediğinde, CPU, bunlar yürütüldüğünde otomatik olarak bir istisna tetikleyerek, özel işleyicinin kontrolü geri almadan önce sonuçları taklit etmesine olanak tanır.
.webp)
Uygulama, geçerli iş parçacığının CPU durumunu yakalamak için GetThreadContext’in çağrılmasıyla başlar, ardından hedef işlev adreslerinde izlemeyi etkinleştirmek için donanım hata ayıklama kayıtları DR0, DR1 ve DR7’yi değiştirir.
Bu donanım kesme noktaları NtContinue kullanılarak işlendikten sonra sistem bu belirli bellek adreslerinin yürütülmesini izler.
Bir güvenlik işlevi çağrıldığında, amaçlanan kontrolleri gerçekleştirmesine izin vermek yerine, işleyici yürütmeyi durdurur. ETW için, işleyici tüm fonksiyonun üzerinden atlayarak olay izleme sistemini etkili bir şekilde kör eder.
AMSI için işleyici, AMSIRESULTCLEAN ile yığındaki AMSIRESULT işaretçisinin üzerine manuel olarak yazar ve dönüş değerini, kötü amaçlı yazılım tespit katmanını tamamen atlayarak başarılı bir taramayı gösterecek şekilde ayarlar.
Bu yaklaşım, geleneksel yama yöntemlerine göre önemli avantajlar sunar çünkü yürütmenin hemen ardından çalışır ve diskte hiçbir kanıt bırakmaz.
Kötü amaçlı yazılım ayrıca, Windows yığınını kodu iki kez yürütecek şekilde yönlendiren bir kontrol akışı yeniden yönlendirme numarası kullanıyor ve bu, ilk yürütme tamamlanana kadar birincil kötü amaçlı rutinlerini gizlemesine olanak tanıyor.
Meşru yazıcı sürücüsü yürütme ve COM nesnesi manipülasyonu ile birleştiğinde, bu kaçırma teknikleri, analizi geciktiren ve otomatik algılama sistemlerini boşa çıkaran çok sayıda gizleme katmanı oluşturur.
Bu kötü amaçlı yazılımı analiz eden güvenlik araştırmacılarının artık algılama kuralları ve yanıt stratejileri geliştirirken bu düşük seviyeli CPU kayıt manipülasyonlarını hesaba katmaları gerekiyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
