Manuel Statik Analiz — Kazuar (Turla APT) | Tehdit: KRITIK
Datei Kimliği
| SHA256 | 436cfce71290c2fc66a73b55487e5e5c73b0636c85b3c5a4f7d0e2b6c9f1a3d6 |
|---|---|
| Größe | 1.910.784 byte (1.9MB) |
| String Sayisi | 12.487 |
Google Protobuf C2-Protokoll
Gelişmiş Teknik: C2 iletişimi için Google Protocol Buffers kullanımı — tespit edilmesi son derece güç!
Protobuf.Com -- Protocol Buffers kütüphane referansı IMessage.De -- Protobuf IMessage arayüzü b29nbGUucHJvdG9idWYuRmlsZURlc2NyaXB0b3JQcm90byL... -- Base64 decode: "google.protobuf.FileDescriptorProto" -- Protobuf şema tanımlayıcısı — C2 mesaj formatını tanımlar
Turla APT (Rusya FSB) Hakkında
Kazuar, Rusya Federal Konfidenzlik Servisi'ne (FSB) bağlı Turla (Snake/Uroburos) APT grubu tarafından kullanılan backdoor ailesidir. 2017'den beri aktif olduğu bilinen Kazuar, gelişmiş anti-analiz teknikleri ve modüler yapısıyla öne çıkar. NATO üyesi ülkelerin hükümet ve savunma kurumlarını hedefler. Protobuf kullanımı özellikle Kazuar v2 versiyonunda öne çıkan bir özelliktir.
IOC
| SHA256 | 436cfce71290c2fc66a73b55487e5e5c73b0636c85b3c5a4f7d0e2b6c9f1a3d6 |
|---|---|
| C2 Protokol | Google Protocol Buffers |
| APT Grup | Turla (FSB/Snake) |
Kazuar — Malware-Profil
Kazuar, Turla APT (Rusya FSB) backdooru. Protobuf C2. NATO hukumet/savunma kurumları hedef. 2017+.
Malware-Typ
Backdoor
Programmiersprache
C#/.NET
C2-Protokoll
HTTP/Protobuf
Zielsysteme
NATO ulkeleri
Fähigkeiten & Verhalten
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC-Liste (1 Indikatoren)
IOC — Kazuar
# SHA256
436cfce71290c2fc66a73b55487e5e5c73b0636c85b3c5a4f7d0e2b6c9f1a3d6
| Typ | Wert | Bemerkung |
|---|---|---|
| sha256 | 436cfce71290c2fc66a73b55487e5e5c73b0636c85b3c5a4f7d0e2b6c9f1a3d6 |