Palo Alto Networks spürt Multiplattform-Backdoor-Trojaner auf

"Kazuar" mit API-Zugriff auf mehrere Systeme

München, (PresseBox) - Unit 42, das Forschungsteam von Palo Alto Networks, hat einen Backdoor-Trojaner aufgespürt, der offensichtlich in einer Spionage-Kampagne zum Einsatz kommt. Die Entwickler beziehen sich mit dem Namen „Kazuar“ auf dieses Tool. Der Trojaner, der mit dem Microsoft .NET Framework geschrieben wurde, gibt den Akteuren vollständigen Zugriff auf kompromittierte Systeme, die gezielt ins Visier genommen werden.

Kazuar enthält einen hochfunktionellen Befehlssatz, der die Möglichkeit beinhaltet, zusätzliche Plugins aus der Ferne zu laden, um die Fähigkeiten des Trojaners zu erweitern. Während der Analyse dieser Malware haben die Forscher von Unit 42 interessante Codepfade und andere Details aufgedeckt, die auf eine Mac- oder Unix-Variante dieses gleichen Tools hindeuten könnten. Außerdem haben sie in Kazuar ein besonderes Feature entdeckt: Es stellt seine Fähigkeiten über eine Programmierschnittstelle (Application Programming Interface, API) an einen integrierten Web-Server zur Verfügung.

In letzter Zeit erhielten die Malware-Forscher Daten, die auf eine Verknüpfung des Kazuar-Tools mit Bedrohungsakteuren der Turla-Gruppe (auch als Uroburos und Snake bezeichnet) hinweisen. Diese Gruppe soll Botschaften, Rüstungsunternehmen, Bildungseinrichtungen und Forschungseinrichtungen auf der ganzen Welt angegriffen haben. Iterationen des Programmcodes, wie sie auch in Kazuar auftauchen, können mindestens bis 2005 zurückverfolgt werden.

Kazuar ist ein umfassend ausgestatteter Backdoor-Trojaner, der mit dem .NET Framework geschrieben und mit dem Open Source Packer namens ConfuserEx verschleiert wurde. Die Malware nutzt einen Mutex, um sicherzustellen, dass nur eine Instanz des Trojaners auf dem System zu einem Zeitpunkt ausgeführt wird. Der Trojaner erstellt dann einen Satz von Ordnern auf dem System, um verschiedene Dateien zu speichern, die während seiner Ausführung erstellt wurden. Der Ablauf der Ausführung wird sorgfältig durch die Betriebsumgebung geleitet, die mit dem .NET Framework Environment ermittelt wird.

Über den Command-and-Control-Kanal (C2) von Kazuar können die Akteure mit dem kompromittierten System interagieren und Daten herausfiltern. Kazuar bietet die Möglichkeit, mehrere Protokolle wie HTTP, HTTPS, FTP oder FTPS zu verwenden. Bisher haben die Forscher im vorliegenden Sample-Set nur beobachtet, dass HTTP als C2-Protokoll verwendet wird. Alle bekannten Kazuar-C2-Server scheinen kompromittierte WordPress Blogs zu sein, was darauf hindeutet, dass die Bedrohungsgruppe lokalisiert vorgeht und die Nutzung verwundbarer WordPress-Websites ein Teil ihrer Strategie ist.

Während viele Backdoor-Trojaner umfangreiche Befehlshandler und Plugin-Frameworks aufweisen, bietet Kazuars Remote-Befehl eine Funktionalität, die nur selten in Spionagekampagnen verwendet wird. Dieser Befehl weist den Trojaner an, einen Thread zu starten, um eingehende HTTP-Anfragen abzufangen, was Kazuar effektiv zu einem Web-Server macht. Diese Funktionalität bietet eine API für den Trojaner, um Befehle auf dem kompromittierten System auszuführen.

Während dieser umfassend ausgestattete Backdoor-Trojaner nichts völlig Neuartiges ist, macht die Existenz eines Code-Pfads für Unix, kombiniert mit der Portabilität von .NET Framework-Code den Kazuar-Trojaner zu einem für die Forscher interessanten Tool. Eine ebenso interessante Komponente dieser Malware ist die Remote-API, die es den Akteuren ermöglicht, über eingehende HTTP-Anfragen Befehle an das kompromittierte System auszustellen. Basierend auf ihrer Analyse, gehen die Forscher von Unit 42 davon aus, dass die Bedrohungsakteure Windows- und Unix-basierte Payloads mit demselben Code kompilieren können, um Kazuar auf beiden Plattformen zu implementieren.

Palo Alto Networks GmbH

Palo Alto Networks ist das Sicherheitsunternehmen der nächsten Generation und nimmt als solches die Führungsrolle in einer neuen Ära der Cybersicherheit ein. Palo Alto Networks ermöglicht bei Tausenden von Unternehmen weltweit die sichere Bereitstellung von Anwendungen und schützt vor Cyberangriffen. Dank eines innovativen Ansatzes und hochgradig differenzierter Funktionen zur Prävention von Cyberbedrohungen bietet unsere bahnbrechende Sicherheitsplattform ein Sicherheitsniveau, das herkömmlichen oder punktuell eingesetzten Produkten weit überlegen ist. Dadurch sind eine sichere Abwicklung des Tagesgeschäfts und der Schutz der wertvollsten Vermögenswerte eines Unternehmens gewährleistet. Weitere Informationen finden Sie unter www.paloaltonetworks.com.

Diese Pressemitteilungen könnten Sie auch interessieren

Weitere Informationen zum Thema "Sicherheit":

API-Kommunikation von Microservices absichern

Mi­cro­ser­vices-Ar­chi­tek­tu­ren un­ter­lie­gen an­de­ren Si­cher­heits­ri­si­ken als mo­no­li­thi­sche Ar­chi­tek­tu­ren. Des­halb ist es wich­tig, sich mit die­sen The­men zu be­schäf­ti­gen, be­vor man Mi­cro­ser­vices in sei­ne IT-Um­ge­bung in­te­griert.

Weiterlesen

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.