Unit 42, das Forschungsteam von Palo Alto Networks, hat einen Backdoor-Trojaner aufgespürt, der offensichtlich in einer Spionage-Kampagne zum Einsatz kommt. Die Entwickler beziehen sich mit dem Namen „Kazuar“ auf dieses Tool. Der Trojaner, der mit dem Microsoft-.NET-Framework geschrieben wurde, gibt den Akteuren vollständigen Zugriff auf kompromittierte Systeme, die gezielt ins Visier genommen werden.
Kazuar enthält einen hochfunktionellen Befehlssatz, der die Möglichkeit beinhaltet, zusätzliche Plugins aus der Ferne zu laden, um die Fähigkeiten des Trojaners zu erweitern. Während der Analyse dieser Malware haben die Forscher von Unit 42 interessante Codepfade und andere Details aufgedeckt, die auf eine Mac- oder Unix-Variante dieses gleichen Tools hindeuten könnten. Außerdem haben sie in Kazuar ein besonderes Feature entdeckt: Es stellt seine Fähigkeiten über eine Programmierschnittstelle (Application Programming Interface, API) an einen integrierten Web-Server zur Verfügung.
In letzter Zeit erhielten die Malware-Forscher Daten, die auf eine Verknüpfung des Kazuar-Tools mit Bedrohungsakteuren der Turla-Gruppe (auch als Uroburos und Snake bezeichnet) hinweisen. Diese Gruppe soll Botschaften, Rüstungsunternehmen, Bildungseinrichtungen und Forschungseinrichtungen auf der ganzen Welt angegriffen haben. Iterationen des Programmcodes, wie sie auch in Kazuar auftauchen, können mindestens bis 2005 zurückverfolgt werden.
Kazuar ist ein umfassend ausgestatteter Backdoor-Trojaner, der mit dem .NET Framework geschrieben und mit dem Open Source Packer namens ConfuserEx verschleiert wurde. Die Malware nutzt einen Mutex, um sicherzustellen, dass nur eine Instanz des Trojaners auf dem System zu einem Zeitpunkt ausgeführt wird. Der Trojaner erstellt dann einen Satz von Ordnern auf dem System, um verschiedene Dateien zu speichern, die während seiner Ausführung erstellt wurden. Der Ablauf der Ausführung wird sorgfältig durch die Betriebsumgebung geleitet, die mit dem .NET Framework Environment ermittelt wird.
Über den Command-and-Control-Kanal (C2) von Kazuar können die Akteure mit dem kompromittierten System interagieren und Daten herausfiltern. Kazuar bietet die Möglichkeit, mehrere Protokolle wie HTTP, HTTPS, FTP oder FTPS zu verwenden. Bisher haben die Forscher im vorliegenden Sample-Set nur beobachtet, dass HTTP als C2-Protokoll verwendet wird. Alle bekannten Kazuar-C2-Server scheinen kompromittierte WordPress Blogs zu sein, was darauf hindeutet, dass die Bedrohungsgruppe lokalisiert vorgeht und die Nutzung verwundbarer WordPress-Websites ein Teil ihrer Strategie ist.
Während viele Backdoor-Trojaner umfangreiche Befehlshandler und Plugin-Frameworks aufweisen, bietet Kazuars Remote-Befehl eine Funktionalität, die nur selten in Spionagekampagnen verwendet wird. Dieser Befehl weist den Trojaner an, einen Thread zu starten, um eingehende HTTP-Anfragen abzufangen, was Kazuar effektiv zu einem Web-Server macht. Diese Funktionalität bietet eine API für den Trojaner, um Befehle auf dem kompromittierten System auszuführen.
Während dieser umfassend ausgestattete Backdoor-Trojaner nichts völlig Neuartiges ist, macht die Existenz eines Code-Pfads für Unix, kombiniert mit der Portabilität von .NET-Framework-Code den Kazuar-Trojaner zu einem für die Forscher interessanten Tool. Eine ebenso interessante Komponente dieser Malware ist die Remote-API, die es den Akteuren ermöglicht, über eingehende HTTP-Anfragen Befehle an das kompromittierte System auszustellen. Basierend auf ihrer Analyse, gehen die Forscher von #Unit 42 davon aus, dass die Bedrohungsakteure Windows- und Unix-basierte Payloads mit demselben Code kompilieren können, um Kazuar auf beiden Plattformen zu implementieren.
#Netzpalaver
