El grupo de hackers vinculado a Rusia conocido como Turla Se ha observado el uso de una versión actualizada de una conocida puerta trasera de segunda etapa denominada Kazuar.
Los nuevos hallazgos provienen de la Unidad 42 de Palo Alto Networks, que está rastreando al adversario bajo su apodo de constelación. Osa pensativa.
“Como revela el código de la revisión mejorada de Kazuar, los autores ponen especial énfasis en la capacidad de Kazuar para operar en secreto, evadir la detección y frustrar los esfuerzos de análisis”, afirman los investigadores de seguridad Daniel Frank y Tom Fakterman. dicho en un informe técnico.
“Lo hacen utilizando una variedad de técnicas avanzadas de antianálisis y protegiendo el código de malware con prácticas efectivas de cifrado y ofuscación”.
Pensive Ursa, activo desde al menos 2004, está atribuido al Servicio Federal de Seguridad de Rusia (FSB). A principios de julio, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) implicó al grupo de amenazas en ataques dirigidos al sector de defensa en Ucrania y Europa del Este con puertas traseras como DeliveryCheck y Kazuar.
Kazuar es un implante basado en .NET que salió a la luz por primera vez en 2017 por su capacidad para interactuar sigilosamente con hosts comprometidos y extraer datos. En enero de 2021, Kaspersky destacó las superposiciones del código fuente entre la cepa de malware y Sunburst, otra puerta trasera utilizada junto con el hack de SolarWinds de 2020.
Las mejoras en Kazuar indican que el actor de amenazas detrás de la operación continúa evolucionando sus métodos de ataque y creciendo en sofisticación, al tiempo que expande su capacidad para controlar los sistemas de las víctimas. Esto incluye el uso de métodos robustos de ofuscación y cifrado de cadenas personalizados para evadir la detección.
“Kazuar opera en un modelo de subprocesos múltiples, mientras que cada una de las principales funcionalidades de Kazuar opera como su propio subproceso”, explicaron los investigadores.
“En otras palabras, un hilo se encarga de recibir comandos o tareas de su [command-and-control], mientras que un subproceso de resolución maneja la ejecución de estos comandos. Este modelo de subprocesos múltiples permite a los autores de Kazuar establecer un control de flujo asíncrono y modular”.
El malware admite una amplia gama de funciones (pasando de 26 comandos en 2017 a 45 en la última variante) que facilitan la creación de perfiles integrales del sistema, la recopilación de datos, el robo de credenciales, la manipulación de archivos y la ejecución de comandos arbitrarios.
También incorpora capacidades para configurar tareas automatizadas que se ejecutarán a intervalos específicos para recopilar datos del sistema, tomar capturas de pantalla y capturar archivos de carpetas particulares. La comunicación con los servidores C2 se realiza a través de HTTP.
“Además de la comunicación HTTP directa con el C2, Kazuar tiene la capacidad de funcionar como un proxy, para recibir y enviar comandos a otros agentes de Kazuar en la red infectada”, dijeron los investigadores.
“Está realizando esta comunicación proxy a través de tuberías con nombre, generando sus nombres en función del GUID de la máquina. Kazuar utiliza estas tuberías para establecer comunicación de igual a igual entre diferentes instancias de Kazuar, configurando cada una como un servidor o un cliente”.
Es más, las amplias funcionalidades antianálisis otorgan a Kazuar un alto grado de sigilo, lo que garantiza que permanezca inactivo y cese toda comunicación C2 si se está depurando o analizando.
El desarrollo llega como Kaspersky. reveló que varias organizaciones estatales e industriales en Rusia fueron atacadas con una puerta trasera personalizada basada en Go que realiza el robo de datos como parte de una campaña de phishing que comenzó en junio de 2023. Actualmente se desconoce el actor de amenazas detrás de la operación.
About the Author
