Η Turla, ένας εξελιγμένος παράγοντας απειλών, γνωστός για στοχευμένες επιθέσεις στον κυβερνοχώρο, έχει αναπτύξει μια αναβαθμισμένη έκδοση του φορτωτή Kazuar v3 που εισάγει προηγμένες τεχνικές αποφυγής που έχουν σχεδιαστεί για να παρακάμπτουν τις σύγχρονες άμυνες ασφαλείας.
Αυτή η τελευταία επανάληψη, που ανακαλύφθηκε τον Ιανουάριο του 2026, παρουσιάζει μια αξιοσημείωτη εξέλιξη στις δυνατότητες κακόβουλου λογισμικού της ομάδας.
Το κακόβουλο λογισμικό λειτουργεί μέσω μιας αλυσίδας μόλυνσης πολλαπλών σταδίων που ξεκινά με ένα φαινομενικά αβλαβές VBScript, το οποίο στη συνέχεια αναπτύσσει έναν εγγενή φορτωτή και πολλά κρυπτογραφημένα ωφέλιμα φορτία Kazuar.
Αυτή η αρχιτεκτονική καταδεικνύει τη βαθιά κατανόηση των εσωτερικών στοιχείων των Windows από τους εισβολείς και την ικανότητά τους να χειρίζονται νόμιμες διαδικασίες συστήματος για κακόβουλους σκοπούς.
Η μόλυνση ξεκινά όταν ένα αρχείο VBScript, που παρακολουθείται ως 8RWRLT.vbs, πραγματοποιεί λήψη πολλών στοιχείων από έναν διακομιστή εντολών και ελέγχου που φιλοξενείται στο 185.126.255.132 στην Ουκρανία.
Το αρχικό στάδιο αναπτύσσει ένα νόμιμο πρόγραμμα εγκατάστασης προγράμματος οδήγησης εκτυπωτή Hewlett-Packard μαζί με ένα κακόβουλο DLL, τα οποία εκτελούνται μαζί μέσω μιας τεχνικής γνωστής ως πλευρικής φόρτωσης DLL.
Στη συνέχεια, το σενάριο δημιουργεί πολλαπλά κρυπτογραφημένα ωφέλιμα φορτία που τελικά εκτελούνται εντός του υποσυστήματος COM των Windows, επιτρέποντας στον εισβολέα να διατηρήσει την επιμονή ενώ αποφεύγει τον εντοπισμό.
Η υποδομή πίσω από αυτήν την καμπάνια αντικατοπτρίζει τακτικές που είχαν τεκμηριωθεί προηγουμένως από την ESET στην ανάλυσή της για τη συνεργασία Gamaredon και Turla, υποδεικνύοντας συνεχή συντονισμό μεταξύ διαφορετικών ομάδων παραγόντων απειλών.
Ο αναλυτής ασφαλείας Dominik Reichel αναγνωρισθείς και τεκμηρίωσε αυτήν την εξελιγμένη αλυσίδα επιθέσεων μετά από προσεκτική αντίστροφη μηχανική των δειγμάτων κακόβουλου λογισμικού.
.webp.png "Το Kazuar v3 Loader της Turla αξιοποιεί την ανίχνευση συμβάντων για Windows και παρακάμπτει τη διεπαφή σάρωσης Antimalware")
Η ανάλυσή του αποκάλυψε ότι οι παράγοντες απειλών ενσωμάτωσαν τη λογική εκτέλεσης απευθείας στο υποσύστημα COM των Windows, επιτρέποντας στο κακόβουλο λογισμικό να μεταμφιεστεί ως νόμιμες αλληλεπιδράσεις συστήματος.
Αυτή η ανακάλυψη υπογραμμίζει πώς οι προηγμένες ομάδες απειλών συνεχίζουν να καινοτομούν τις μεθόδους διαφυγής τους για να παρακάμψουν τόσο τις παραδοσιακές λύσεις προστασίας από ιούς όσο και τα σύγχρονα συστήματα ανίχνευσης τελικών σημείων.
Ανίχνευση αποφυγής μέσω σημείων διακοπής υλικού και ενοποίησης συστήματος
Η πιο αξιοσημείωτη πτυχή του προγράμματος φόρτωσης Kazuar v3 της Turla έγκειται στην εφαρμογή παρακάμψεων χωρίς ενημερωμένη έκδοση κώδικα για την παρακολούθηση συμβάντων για Windows (ETW) και τη διεπαφή σάρωσης για κακόβουλο λογισμικό (AMSI), τα δύο κύρια συστήματα παρακολούθησης που προστατεύουν τα συστήματα των Windows.
Αντί να τροποποιεί τον κώδικα στο δίσκο, το κακόβουλο λογισμικό χρησιμοποιεί αγκίστρωση σημείου διακοπής υλικού για να υποκλέψει κλήσεις λειτουργιών ασφαλείας χωρίς να αφήνει παραδοσιακές ενημερώσεις κώδικα.
Η τεχνική λειτουργεί με την καταχώριση ενός διανυσματικού χειριστή εξαιρέσεων που παρακολουθεί δύο κρίσιμες λειτουργίες: NtTraceControl για ETW και AmsiScanBuffer για AMSI.
Όταν το κακόβουλο λογισμικό ορίζει σημεία διακοπής υλικού σε αυτές τις λειτουργίες, η CPU ενεργοποιεί αυτόματα μια εξαίρεση κάθε φορά που εκτελούνται, επιτρέποντας στον προσαρμοσμένο χειριστή να πλαστογραφήσει τα αποτελέσματά του πριν επιστρέψει τον έλεγχο.
.webp.png "Το Kazuar v3 Loader της Turla αξιοποιεί την ανίχνευση συμβάντων για Windows και παρακάμπτει τη διεπαφή σάρωσης Antimalware")
Η υλοποίηση ξεκινά καλώντας το GetThreadContext για να καταγράψει την κατάσταση CPU του τρέχοντος νήματος και, στη συνέχεια, τροποποιεί τους καταχωρητές εντοπισμού σφαλμάτων υλικού DR0, DR1 και DR7 για να ενεργοποιήσει την παρακολούθηση στις διευθύνσεις της λειτουργίας προορισμού.
Μόλις δεσμευτούν αυτά τα σημεία διακοπής υλικού χρησιμοποιώντας το NtContinue, το σύστημα παρακολουθεί για οποιαδήποτε εκτέλεση αυτών των συγκεκριμένων διευθύνσεων μνήμης.
Όταν καλείται μια συνάρτηση ασφαλείας, αντί να της επιτρέψει να εκτελέσει τους προβλεπόμενους ελέγχους, ο χειριστής παρεμποδίζει την εκτέλεση. Για το ETW, ο χειριστής απλώς μεταπηδά σε ολόκληρη τη λειτουργία, τυφλώνοντας ουσιαστικά το σύστημα ανίχνευσης συμβάντων.
Για το AMSI, ο χειριστής αντικαθιστά χειροκίνητα τον δείκτη AMSIRESULT στη στοίβα με AMSIRESULTCLEAN και ορίζει την τιμή επιστροφής για να υποδεικνύει μια επιτυχημένη σάρωση, παρακάμπτοντας πλήρως το επίπεδο ανίχνευσης κακόβουλου λογισμικού.
Αυτή η προσέγγιση προσφέρει σημαντικά πλεονεκτήματα σε σχέση με τις παραδοσιακές μεθόδους ενημέρωσης κώδικα, επειδή λειτουργεί αμέσως μετά την εκτέλεση και δεν αφήνει στοιχεία στο δίσκο.
Το κακόβουλο λογισμικό χρησιμοποιεί επιπλέον ένα τέχνασμα ανακατεύθυνσης ροής ελέγχου που χειρίζεται τη στοίβα των Windows για να εκτελέσει τον κώδικα δύο φορές, επιτρέποντάς του να αποκρύψει τις κύριες κακόβουλες ρουτίνες του μέχρι να εμφανιστεί η ολοκλήρωση της αρχικής εκτέλεσης.
Σε συνδυασμό με τη νόμιμη εκτέλεση του προγράμματος οδήγησης εκτυπωτή και τη χειραγώγηση αντικειμένων COM, αυτές οι τεχνικές αποφυγής δημιουργούν πολλαπλά επίπεδα συσκότισης που καθυστερούν την ανάλυση και απογοητεύουν τα αυτοματοποιημένα συστήματα ανίχνευσης.
Οι ερευνητές ασφαλείας που αναλύουν αυτό το κακόβουλο λογισμικό πρέπει τώρα να λαμβάνουν υπόψη αυτούς τους χειρισμούς του μητρώου CPU χαμηλού επιπέδου κατά την ανάπτυξη κανόνων ανίχνευσης και στρατηγικών απόκρισης.
