研究人员发现了Sunburst和俄罗斯Kazuar恶意软件之间的联系

网络安全研究人员可能首次发现了SolarWinds黑客攻击中使用的后门与之前已知的恶意软件菌株之间的潜在联系。

In new research published by Kaspersky researchers today, the cybersecurity firm said it discovered several features that overlap with another backdoor known as Kazuar, a .NET-based malware first documented by Palo Alto Networks in 2017.

据上月初披露，这场间谍活动以其规模和隐蔽性著称，攻击者利用与SolarWinds Orion软件相关的信任渗透到政府机构和其他公司，从而部署一个代号为“Sunburst”的定制恶意软件

Sunburst和Kazuar之间的共享功能

SolarWinds供应链妥协的归因一直很困难，部分原因是几乎没有线索将攻击基础设施与之前的活动或其他知名威胁团体联系起来。

But Kaspersky's latest analysis of the Sunburst backdoor has revealed a number of shared features between the malware and Kazuar, leading the researchers to suspect that —

• Sunburst和Kazuar都是由同一个威胁组织开发的
• Sunburst背后的对手以Kazuar为灵感
• Kazuar（Turla）和Sunburst（UNC2452或Dark Halo）背后的团队从单一来源获取恶意软件
• Kazuar的开发人员转移到另一个团队，带着他们的工具集，或者
• Sunburst开发者故意将这些链接作为“虚假标志”引入，以将责任推给另一个群体

这两个恶意软件家族的共同点包括使用休眠算法在与C2服务器的连接之间的一段随机时间内保持休眠，广泛使用FNV-1a散列来混淆恶意代码，以及使用散列算法来生成唯一的受害者标识符。

Kazuar在C2连接之间随机选择两到四周的睡眠时间，Sunburst在联系服务器进行初始侦察之前随机选择12到14天的睡眠时间。但研究人员指出，用于计算睡眠时间的公式保持不变。

卡祖尔可能与图拉有联系

Kazuar是一个使用。NET框架，并依赖指挥与控制（C2）通道，允许参与者与受损系统交互并过滤数据。它的功能运行典型的间谍软件，支持运行恶意命令、捕获屏幕截图，甚至通过插件命令部署其他功能。

Palo Alto Networks的42号部队团队基于“卡祖尔的代码谱系至少可以追溯到2005年”这一事实，初步将该工具与俄罗斯威胁组织Turla（又名Uroburos和Snake）联系起来

此外，2020年11月18日，Kazuar似乎进行了彻底的重新设计，在后门中添加了新的键盘记录器和密码窃取功能，以C2服务器命令的形式实现。

虽然威胁参与者不断更新他们的工具集并引入旨在绕过端点检测和响应（EDR）系统的功能是正常的，但卡巴斯基研究人员提出了这样一种可能性，即这些变化可能是为了应对SolarWinds的入侵而引入的。

研究人员说：“由于怀疑太阳风袭击可能被发现，卡祖尔密码被修改为尽可能少地类似于太阳风暴的后门。”。

CISA更新SolarWinds Advisory

上周，美国网络安全和基础设施安全局（CISA）、联邦调查局（FBI）、国家情报局长办公室（ODNI）和国家安全局（NSA）发布了一份联合声明，正式指控对手“可能来自俄罗斯”策划了太阳林黑客攻击。

此外，CISA在1月6日发布的最新咨询意见中表示，“事故响应调查发现，在某些情况下，最初的访问是通过猜测密码、喷洒密码和通过外部远程访问服务访问的不适当安全的管理凭据获得的。”

卡巴斯基的研究人员总结道：“Kazuar和Sunburst之间的这些代码重叠很有趣，代表了第一个可能与之前已知的恶意软件家族有关的识别链接。”。

“虽然Kazuar和Sunburst可能有关联，但这种关系的性质仍不清楚。通过进一步分析，可能会出现证实其中一点或几点的证据。同时，Sunburst开发商也可能真的很擅长opsec，没有犯任何错误，与此相关的是：一个精心制作的假旗子。"