{"id":1025311,"date":"2023-11-01T08:55:28","date_gmt":"2023-11-01T08:55:28","guid":{"rendered":"https:\/\/teknomers.com\/es\/turla-actualiza-la-puerta-trasera-kazuar-con-antianalisis-avanzado-para-evadir-la-deteccion\/"},"modified":"2023-11-01T08:55:31","modified_gmt":"2023-11-01T08:55:31","slug":"turla-actualiza-la-puerta-trasera-kazuar-con-antianalisis-avanzado-para-evadir-la-deteccion","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/turla-actualiza-la-puerta-trasera-kazuar-con-antianalisis-avanzado-para-evadir-la-deteccion\/","title":{"rendered":"Turla actualiza la puerta trasera Kazuar con antian\u00e1lisis avanzado para evadir la detecci\u00f3n"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>01 de noviembre de 2023<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Amenaza cibern\u00e9tica\/malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

El grupo de hackers vinculado a Rusia conocido como Turla <\/b>Se ha observado el uso de una versi\u00f3n actualizada de una conocida puerta trasera de segunda etapa denominada Kazuar.<\/p>\n

Los nuevos hallazgos provienen de la Unidad 42 de Palo Alto Networks, que est\u00e1 rastreando al adversario bajo su apodo de constelaci\u00f3n. Osa pensativa<\/strong>.<\/p>\n

“Como revela el c\u00f3digo de la revisi\u00f3n mejorada de Kazuar, los autores ponen especial \u00e9nfasis en la capacidad de Kazuar para operar en secreto, evadir la detecci\u00f3n y frustrar los esfuerzos de an\u00e1lisis”, afirman los investigadores de seguridad Daniel Frank y Tom Fakterman. dicho<\/a> en un informe t\u00e9cnico.<\/p>\n

“Lo hacen utilizando una variedad de t\u00e9cnicas avanzadas de antian\u00e1lisis y protegiendo el c\u00f3digo de malware con pr\u00e1cticas efectivas de cifrado y ofuscaci\u00f3n”.<\/p>\n

Pensive Ursa, activo desde al menos 2004, est\u00e1 atribuido al Servicio Federal de Seguridad de Rusia (FSB). A principios de julio, el Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) implic\u00f3 al grupo de amenazas en ataques dirigidos al sector de defensa en Ucrania y Europa del Este con puertas traseras como DeliveryCheck y Kazuar.<\/p>\n

\"La<\/a><\/center><\/div>\n

Kazuar es un implante basado en .NET que sali\u00f3 a la luz por primera vez en 2017 por su capacidad para interactuar sigilosamente con hosts comprometidos y extraer datos. En enero de 2021, Kaspersky destac\u00f3 las superposiciones del c\u00f3digo fuente entre la cepa de malware y Sunburst, otra puerta trasera utilizada junto con el hack de SolarWinds de 2020.<\/p>\n

Las mejoras en Kazuar indican que el actor de amenazas detr\u00e1s de la operaci\u00f3n contin\u00faa evolucionando sus m\u00e9todos de ataque y creciendo en sofisticaci\u00f3n, al tiempo que expande su capacidad para controlar los sistemas de las v\u00edctimas. Esto incluye el uso de m\u00e9todos robustos de ofuscaci\u00f3n y cifrado de cadenas personalizados para evadir la detecci\u00f3n.<\/p>\n

“Kazuar opera en un modelo de subprocesos m\u00faltiples, mientras que cada una de las principales funcionalidades de Kazuar opera como su propio subproceso”, explicaron los investigadores.<\/p>\n

\"Antian\u00e1lisis<\/a><\/div>\n

“En otras palabras, un hilo se encarga de recibir comandos o tareas de su [command-and-control], mientras que un subproceso de resoluci\u00f3n maneja la ejecuci\u00f3n de estos comandos. Este modelo de subprocesos m\u00faltiples permite a los autores de Kazuar establecer un control de flujo as\u00edncrono y modular”.<\/p>\n

El malware admite una amplia gama de funciones (pasando de 26 comandos en 2017 a 45 en la \u00faltima variante) que facilitan la creaci\u00f3n de perfiles integrales del sistema, la recopilaci\u00f3n de datos, el robo de credenciales, la manipulaci\u00f3n de archivos y la ejecuci\u00f3n de comandos arbitrarios.<\/p>\n

Tambi\u00e9n incorpora capacidades para configurar tareas automatizadas que se ejecutar\u00e1n a intervalos espec\u00edficos para recopilar datos del sistema, tomar capturas de pantalla y capturar archivos de carpetas particulares. La comunicaci\u00f3n con los servidores C2 se realiza a trav\u00e9s de HTTP.<\/p>\n

\"La<\/a><\/center><\/div>\n

“Adem\u00e1s de la comunicaci\u00f3n HTTP directa con el C2, Kazuar tiene la capacidad de funcionar como un proxy, para recibir y enviar comandos a otros agentes de Kazuar en la red infectada”, dijeron los investigadores.<\/p>\n

“Est\u00e1 realizando esta comunicaci\u00f3n proxy a trav\u00e9s de tuber\u00edas con nombre<\/a>, generando sus nombres en funci\u00f3n del GUID de la m\u00e1quina. Kazuar utiliza estas tuber\u00edas para establecer comunicaci\u00f3n de igual a igual entre diferentes instancias de Kazuar, configurando cada una como un servidor o un cliente”.<\/p>\n

Es m\u00e1s, las amplias funcionalidades antian\u00e1lisis otorgan a Kazuar un alto grado de sigilo, lo que garantiza que permanezca inactivo y cese toda comunicaci\u00f3n C2 si se est\u00e1 depurando o analizando.<\/p>\n

El desarrollo llega como Kaspersky. revel\u00f3<\/a> que varias organizaciones estatales e industriales en Rusia fueron atacadas con una puerta trasera personalizada basada en Go que realiza el robo de datos como parte de una campa\u00f1a de phishing que comenz\u00f3 en junio de 2023. Actualmente se desconoce el actor de amenazas detr\u00e1s de la operaci\u00f3n.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n