Manuel Statik Analiz — Kazuar (Turla APT) | Tehdit: KRITIK

Archivo Kimliği

SHA256436cfce71290c2fc66a73b55487e5e5c73b0636c85b3c5a4f7d0e2b6c9f1a3d6
Tamaño1.910.784 byte (1.9MB)
String Sayisi12.487

Google Protobuf Protocolo C2

Gelişmiş Teknik: C2 iletişimi için Google Protocol Buffers kullanımı — tespit edilmesi son derece güç!
Protobuf.Com      -- Protocol Buffers kütüphane referansı
IMessage.De       -- Protobuf IMessage arayüzü
b29nbGUucHJvdG9idWYuRmlsZURlc2NyaXB0b3JQcm90byL...
-- Base64 decode: "google.protobuf.FileDescriptorProto"
-- Protobuf şema tanımlayıcısı — C2 mesaj formatını tanımlar

Turla APT (Rusya FSB) Hakkında

Kazuar, Rusya Federal Confianzalik Servisi'ne (FSB) bağlı Turla (Snake/Uroburos) APT grubu tarafından kullanılan backdoor ailesidir. 2017'den beri aktif olduğu bilinen Kazuar, gelişmiş anti-analiz teknikleri ve modüler yapısıyla öne çıkar. NATO üyesi ülkelerin hükümet ve savunma kurumlarını hedefler. Protobuf kullanımı özellikle Kazuar v2 versiyonunda öne çıkan bir özelliktir.

IOC

SHA256436cfce71290c2fc66a73b55487e5e5c73b0636c85b3c5a4f7d0e2b6c9f1a3d6
C2 ProtokolGoogle Protocol Buffers
APT GrupTurla (FSB/Snake)

Kazuar — Perfil del malware

Kazuar, Turla APT (Rusya FSB) backdooru. Protobuf C2. NATO hukumet/savunma kurumları hedef. 2017+.

Tipo de malware
Backdoor
Lenguaje de programación
C#/.NET
Protocolo C2
HTTP/Protobuf
Sistemas objetivo
NATO ulkeleri

Capacidades y comportamiento

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Lista IOC (1 indicadores)

IOC — Kazuar
# SHA256 436cfce71290c2fc66a73b55487e5e5c73b0636c85b3c5a4f7d0e2b6c9f1a3d6
TipoValorNota
sha256 436cfce71290c2fc66a73b55487e5e5c73b0636c85b3c5a4f7d0e2b6c9f1a3d6
Etiquetas
kazuarturla-aptrussia-fsbprotobuf-c2google-protobufapt-backdoorcozy-bear