Мы вскрываем схемы, пока их прячут
Image

Мы вскрываем схемы, пока их прячут

Подпишись на нас и смотри, как ломают системы и как это чинят, пока остальные делают вид, что все ок.

Ваш принтер не то, чем кажется. Как хакеры прячут вирусы в установщиках драйверов

Turla Kazuar Windows COM загрузчик скрытность вредоносный код
Ваш принтер не то, чем кажется. Как хакеры прячут вирусы в установщиках драйверов
Turla Kazuar Windows COM загрузчик скрытность вредоносный код

Обновлённый вредонос Kazuar научился обходить защитные системы без лишнего шума.

image

ИБ-специалисты обнаружили обновлённую версию загрузчика Kazuar, который применяют участники киберопераций из группировки Turla. Этот модуль выполняет обход защитных механизмов Windows без вмешательства в системные файлы, применяет хитроумные трюки управления потоком выполнения и активно использует механизм COM. Всё это позволяет ему оставаться незаметным и затруднять анализ.

Атака начинается с незамысловатого VBScript-файла, внешне не вызывающего подозрений. Он создаёт несколько вложенных папок в каталоге локальных пользовательских данных и загружает туда пять компонентов с удалённого сервера. Среди них — легитимный установщик драйвера принтера Hewlett-Packard, который позже используется для подмены загрузки и запуска вредоносной библиотеки.

Сценарий также настраивает автозапуск через реестр и собирает информацию о системе, включая список процессов, аппаратную архитектуру и имя пользователя. Затем эти данные отправляются на тот же сервер, расположенный на IP-адресе, ранее замеченном в атаках, описанных командой ESET.

Основная вредоносная логика скрыта в библиотеке «hpbprndiLOC.dll». Она запускается через технику подмены DLL — вместе с легитимным установщиком драйвера. Этот компонент содержит обфусцированный код, ложные вызовы API и лишние логические конструкции.

Компонент использует различные функции Windows для обхода ETW и AMSI, применяя аппаратные точки останова, что позволяет обойти защитные механизмы без изменения кода в памяти. Одновременно библиотека задействует трюк с редиректом управления — часть кода запускается дважды, при этом вторая фаза начинается в середине одной и той же функции.

Загрузчик разворачивает дальнейшую атаку, опираясь на COM-инфраструктуру Windows. Он вручную копирует настройки системного компонента ADODB.Stream из глобального реестра в пользовательский, что позволяет проводить скрытые файловые операции. Для создания нужных каталогов используется механизм Shell Automation, при этом действия маскируются под активность интерфейса проводника.

Следующий этап — расшифровка и запись на диск .NET-библиотеки, через которую запускаются финальные компоненты Kazuar. Эта библиотека регистрируется в реестре как COM-объект и взаимодействует с системой через стандартный механизм Windows — COM Callable Wrapper. Каждый из трёх компонентов Kazuar (KERNEL, WORKER и BRIDGE) передаётся в неё зашифрованным и загружается в изолированном процессе dllhost.exe, что дополнительно усложняет обнаружение.

KERNEL выполняет основную вредоносную деятельность: управление задачами, логирование нажатий клавиш, работа с конфигурацией. WORKER отслеживает наличие защитных программ, включая решения от Kaspersky, Symantec и Microsoft. BRIDGE обеспечивает связь с удалёнными серверами через легитимные, но скомпрометированные WordPress-сайты, замаскированные под каталоги плагинов. Все три компонента используют метку агента AGN-RR-01, такую же, как в операциях, приписываемых совместной активности Turla и Gamaredon.

Обновлённый загрузчик Kazuar демонстрирует высокий уровень технической подготовки. Он избегает прямых изменений системных компонентов, глубоко интегрируется в инфраструктуру Windows, маскируя свои действия под поведение штатных механизмов. Архитектура из нескольких этапов, использование COM и обход защит без вмешательства в память позволяют ему оставаться в системе долгое время без обнаружения.