Свързаната с руските служби хакерска група Secret Blizzard е развила своя дългогодишен backdoor malware Kazuar в модулен peer-to-peer (P2P) ботнет, предназначен за дългосрочно прикрито присъствие, събиране на разузнавателна информация и минимизиране на мрежовата видимост.
Според анализ на Microsoft Security новите версии на Kazuar показват значителна еволюция в архитектурата и възможностите на malware-а.
Групата е свързвана с ФСБ и Turla
Secret Blizzard е известна още под имената:
- Turla
- Uroburos
- Venomous Bear
Операциите ѝ традиционно се асоциират с руската служба Федерална служба за сигурност на Руската федерация.
Групата е известна с кампании срещу:
- правителствени институции
- дипломатически организации
- отбранителния сектор
- критична инфраструктура
- цели в Европа, Азия и Украйна
Kazuar съществува от години
Kazuar е документиран публично още през 2017 г., но според изследователите части от неговия код могат да бъдат проследени чак до 2005 г.
През 2020 г. malware-ът беше засечен при атаки срещу европейски правителствени организации, а през 2023 г. – в кампании срещу украински цели.
Новата архитектура: Kernel, Bridge и Worker
Microsoft описва новата версия на Kazuar като силно модулна платформа, изградена от три основни компонента:
Kernel модул
Kernel модулът е централният координационен елемент на ботнета.
Той:
- управлява задачите
- контролира останалите модули
- избира „лидер“ в компрометираната мрежа
- координира комуникацията и потока от данни
„Leader“ система
Във всяка компрометирана среда един от заразените хостове автоматично се избира за лидер.
Само той комуникира директно с command-and-control (C2) инфраструктурата.
Останалите заразени устройства преминават в „silent mode“ и не осъществяват директни външни връзки.
Това значително намалява мрежовия шум и усложнява откриването.
Изборът на лидер се извършва автономно според:
- uptime
- reboot статистика
- interruption counters
Bridge модулът скрива външната комуникация
Bridge модулът действа като комуникационен proxy между Kernel лидера и външната C2 инфраструктура.
Той поддържа различни протоколи, включително:
- HTTP
- WebSockets
- Exchange Web Services (EWS)
Този подход позволява на malware-а да се прикрива в легитимен enterprise трафик.
IPC комуникация за по-добра stealth функционалност
Вътрешната комуникация между модулите използва стандартни Windows IPC механизми като:
- Windows Messaging
- Mailslots
- Named Pipes
Съобщенията се криптират с AES и се сериализират чрез Google Protocol Buffers (Protobuf).
Използването на легитимни IPC механизми позволява на Kazuar да се слива с нормалната операционна активност на системата.
Worker модулът изпълнява шпионските операции
Worker модулът отговаря за реалното събиране на разузнавателна информация.
Сред функциите му са:
- keylogging
- screenshot capture
- filesystem harvesting
- system reconnaissance
- network reconnaissance
- кражба на Outlook/MAPI данни
- мониторинг на прозорци
- извличане на recent files
Събраните данни се криптират локално и по-късно се ексфилтрират чрез Bridge модула.
Над 150 конфигурационни опции
Microsoft подчертава, че Kazuar вече поддържа над 150 конфигурационни параметъра, позволяващи на операторите динамично да настройват поведението на malware-а.
Сред възможностите са:
- task scheduling
- process injection
- контрол на размера на exfiltration chunk-овете
- timing на кражбата на данни
- управление на команди
- security bypass механизми
Вградени bypass техники срещу защитни механизми
Новите версии на Kazuar вече включват bypass функционалности за:
- AMSI (Antimalware Scan Interface)
- ETW (Event Tracing for Windows)
- WLDP (Windows Lockdown Policy)
Тези техники са предназначени да намалят вероятността malware-ът да бъде засечен от EDR и антивирусни решения.
Фокус върху дългосрочен шпионаж
Според Microsoft основната цел на Secret Blizzard остава дългосрочното присъствие в компрометирани среди с цел събиране на политически и стратегически важна информация.
Групата традиционно се интересува от:
- дипломатическа кореспонденция
- правителствени документи
- вътрешни комуникации
- отбранителна информация
Microsoft препоръчва behavioral detection
Поради силно модулната и конфигурируема архитектура на Kazuar Microsoft препоръчва организациите да разчитат основно на поведенчески анализи, а не на сигнатури.
Традиционните IOC-базирани защити могат лесно да бъдат заобиколени чрез промяна на конфигурацията или модулите на malware-а.
Особено внимание трябва да се обръща на:
- необичайна IPC активност
- процесни injection техники
- атипичен EWS трафик
- дългосрочни stealth комуникации
- вътрешна lateral movement активност
