Nuevo backdoor .NET propagado por grupo Turla

Publicado hace 10 meses 03-11-2023

La última versión del backdoor Kazuar podría ser más sofisticada de lo que se imaginaba anteriormente. El backdoor Kazuar fue utilizado por el grupo de hackers ruso Turla para atacar el sector de defensa ucraniano en julio de 2023. Investigadores encontraron características no documentadas previamente en la última variante de Kazuar, una puerta trasera .NET que Turla utiliza como carga útil de segunda etapa, entregada junto con otras herramientas.

  • Anti detección.
  • Anti análisis.
  • Creación inteligente de perfiles en el sistema.
  • Amplio foco en equipos Cloud.
Esta versión de Kazuar también admite más de 40 comandos distintos, la mitad de los cuales no estaban documentados anteriormente.

¿Qué es la puerta trasera de Kazuar?
Kazuar es una puerta trasera .NET desarrollada y mantenida por el grupo de hackers ruso Turla. Fue descubierto por primera vez en 2017 por la Unidad 42.

Desde su descubrimiento, Kazuar ha sido observado en la naturaleza solo un puñado de veces, principalmente contra organizaciones del sector gubernamental y militar europeo.

¿Quiénes son Turla?
Turla, también conocido como Pensive Ursa, Uroboros, Venomous Bear, Waterbug o UNC4210, es un grupo de amenazas persistentes avanzadas (APT) altamente sofisticado con base en Rusia que opera desde al menos 2004 con motivaciones de espionaje y recopilación de inteligencia.

El grupo está vinculado al Servicio Federal de Seguridad de Rusia (FSB).

Turla tiene una larga trayectoria en la realización de campañas de ciberespionaje contra diversas víctimas, abarcando múltiples sectores como el de alta tecnología, el farmacéutico, el gubernamental y el minorista.

El grupo es conocido por utilizar técnicas y malware sofisticados, que incluyen puertas traseras personalizadas, rootkits y registradores de pulsaciones de teclas. Turla también es conocida por su capacidad para mantener el acceso a largo plazo a las redes de las víctimas, a menudo durante años.

Russian Hackers Revamp Malware, Target Governments: Report

Indicadores de compromiso:

Kazuar SHA256
91dc8593ee573f3a07e9356e65e06aed58d8e74258313e3414a7de278b3b5233
Command and Control Servers
hxxps://www.pierreagencement[.]fr/wp-content/languages/index.php
hxxps://sansaispa[.]com/wp-includes/images/gallery/
hxxps://octoberoctopus.co[.]za/wp-includes/sitemaps/web/

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

PoolParty Injection
Publicado hace 9 meses 12-12-2023

La nueva técnica de inyección de procesos llamada "PoolParty", presentada por primera vez en la Black Hat Europe 2023, descubierta por investigadores de SafeBreach y analizada a fondo por Alon Leviev, consiste en un conjunto de ocho técnic......

Medusa Ransomware
Publicado hace 9 meses 11-12-2023

¿Cómo Trabaja? Obtiene un acceso privilegiado a los sistemas a través de protocolos de escritorio remoto (RDP) vulnerables y campañas de phishing engañosas. Una vez que infringe un sistema, Medusa emplea PowerShell para la ejecuci&oac......

8Base Ransomware
Publicado hace 9 meses 06-12-2023

A principios de mayo del 2023, el grupo 8base como parte de su modelo de extorsión incluía un blog en TOR donde publican las empresas que han sido víctimas de su ransomware, este blog se encuentra disponible publicamente en la darkweb. Cabe destacar que, aunq......

BOLETINES RECIENTES

...
PoolParty Injection
Publicado hace 9 meses 12-12-2023
Leer más
...
Medusa Ransomware
Publicado hace 9 meses 11-12-2023
Leer más
...
8Base Ransomware
Publicado hace 9 meses 06-12-2023
Leer más