ИБ-специалисты обнаружили усовершенствованный загрузчик Kazuar, используемый хакерской группировкой Turla. Его ключевая особенность — обход защитных механизмов Windows без модификации системных файлов, что делает его крайне скрытным.
Атака начинается с безобидного на вид VBScript-файла. Он создает скрытые каталоги и загружает компоненты, включая легитимный установщик драйвера HP. Именно этот установщик позже используется для запуска вредоносной библиотеки, маскируя её под часть процесса установки драйвера.
Вредоносная библиотека использует сложные техники: обфускацию кода, трюки с управлением потоком выполнения и аппаратные точки останова для обхода ETW и AMSI. Это позволяет избегать обнаружения, не оставляя следов в памяти.
Злоумышленники активно используют системные механизмы COM и ADODB.Stream для скрытых файловых операций. Финальные модули вредоноса загружаются через легальный .NET-интерфейс и работают внутри изолированных системных процессов, что сильно затрудняет их обнаружение.
Основные модули Kazuar образуют полноценную шпионскую платформу: перехват ввода, слежка за системой и защитным ПО, а также скрытная связь с серверами через скомпрометированные легитимные сайты.
Эта атака — напоминание, что даже рутинные процессы, вроде обновления драйверов, могут быть использованы против вас. Современные угрозы прячутся не в темных уголках интернета, а в белом шуме обычных операций. Бдительность и многоуровневая защита — не паранойя, а новая норма цифровой гигиены.