Admin
Администратор
Ваш принтер не то, чем кажется. Как хакеры прячут вирусы в установщиках драйверов.
Обновлённый вредонос Kazuar научился обходить защитные системы без лишнего шума.
ИБ-специалисты обнаружили обновлённую версию загрузчика Kazuar, который применяют участники киберопераций из группировки Turla. Этот модуль выполняет обход защитных механизмов Windows без вмешательства в системные файлы, применяет хитроумные трюки управления потоком выполнения и активно использует механизм COM. Всё это позволяет ему оставаться незаметным и затруднять анализ.
Атака начинается с незамысловатого VBScript-файла, внешне не вызывающего подозрений. Он создаёт несколько вложенных папок в каталоге локальных пользовательских данных и загружает туда пять компонентов с удалённого сервера. Среди них — легитимный установщик драйвера принтера Hewlett-Packard, который позже используется для подмены загрузки и запуска вредоносной библиотеки.
Сценарий также настраивает автозапуск через реестр и собирает информацию о системе, включая список процессов, аппаратную архитектуру и имя пользователя. Затем эти данные отправляются на тот же сервер, расположенный на IP-адресе, ранее замеченном в атаках, описанных командой ESET.
Основная вредоносная логика скрыта в библиотеке «hpbprndiLOC.dll». Она запускается через технику подмены DLL — вместе с легитимным установщиком драйвера. Этот компонент содержит обфусцированный код, ложные вызовы API и лишние логические конструкции.
Компонент использует различные функции Windows для обхода ETW и AMSI, применяя аппаратные точки останова, что позволяет обойти защитные механизмы без изменения кода в памяти. Одновременно библиотека задействует трюк с редиректом управления — часть кода запускается дважды, при этом вторая фаза начинается в середине одной и той же функции.
Загрузчик разворачивает дальнейшую атаку, опираясь на COM-инфраструктуру Windows. Он вручную копирует настройки системного компонента ADODB.Stream из глобального реестра в пользовательский, что позволяет проводить скрытые файловые операции. Для создания нужных каталогов используется механизм Shell Automation, при этом действия маскируются под активность интерфейса проводника.
Следующий этап — расшифровка и запись на диск .NET-библиотеки, через которую запускаются финальные компоненты Kazuar. Эта библиотека регистрируется в реестре как COM-объект и взаимодействует с системой через стандартный механизм Windows — COM Callable Wrapper. Каждый из трёх компонентов Kazuar (KERNEL, WORKER и BRIDGE) передаётся в неё зашифрованным и загружается в изолированном процессе dllhost.exe, что дополнительно усложняет обнаружение.
KERNEL выполняет основную вредоносную деятельность: управление задачами, логирование нажатий клавиш, работа с конфигурацией. WORKER отслеживает наличие защитных программ, включая решения от Kaspersky, Symantec и Microsoft. BRIDGE обеспечивает связь с удалёнными серверами через легитимные, но скомпрометированные WordPress-сайты, замаскированные под каталоги плагинов. Все три компонента используют метку агента AGN-RR-01, такую же, как в операциях, приписываемых совместной активности Turla и Gamaredon.
Обновлённый загрузчик Kazuar демонстрирует высокий уровень технической подготовки. Он избегает прямых изменений системных компонентов, глубоко интегрируется в инфраструктуру Windows, маскируя свои действия под поведение штатных механизмов. Архитектура из нескольких этапов, использование COM и обход защит без вмешательства в память позволяют ему оставаться в системе долгое время без обнаружения.
