De door de Russische staat gesponsorde hackgroep bekend als
Turla
heeft zijn aangepaste achterdeur Kazuar getransformeerd in een modulair peer-to-peer (P2P) botnet dat is ontworpen voor stealth en permanente toegang tot gecompromitteerde hosts.
Volgens de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) wordt Turla geacht te zijn aangesloten bij Centrum 16 van de Russische Federale Veiligheidsdienst (FSB). Het overlapt met activiteiten die door de bredere cyberbeveiligingsgemeenschap worden getraceerd onder de namen ATG26, Blue Python, Iron Hunter, Pensive Ursa, Secret Blizzard (voorheen Krypton), Snake, SUMMIT, Uroburos, Venomous Bear, Waterbug en WRAITH.
De hackgroep staat bekend om zijn aanvallen op de overheids-, diplomatieke en defensiesectoren in Europa en Centraal-Azië, evenals op eindpunten die eerder door Aqua Blizzard (ook bekend als Actinium en Gamaredon) zijn gehackt om de strategische doelstellingen van het Kremlin te ondersteunen.
“Deze upgrade sluit aan bij de bredere doelstelling van Secret Blizzard om op lange termijn toegang te krijgen tot systemen voor het verzamelen van inlichtingen”, aldus het Microsoft Threat Intelligence-team in een donderdag gepubliceerd rapport. “Terwijl veel bedreigingsactoren afhankelijk zijn van het toenemende gebruik van native tools (living-off-the-land binaries (LOLBins)) om detectie te voorkomen, benadrukt Kazuar’s ontwikkeling naar een modulaire bot hoe Secret Blizzard veerkracht en stealth rechtstreeks in hun tools integreert.”
Een belangrijk hulpmiddel in het arsenaal van Turla is Kazuar, een geavanceerde .NET-backdoor die sinds 2017 consequent in gebruik wordt genomen. De nieuwste bevindingen van Microsoft brengen de evolutie in kaart van een ‘monolithisch’ raamwerk naar een modulair bot-ecosysteem met drie verschillende componenttypen, elk met zijn eigen, goed gedefinieerde rollen. Deze veranderingen maken een flexibele configuratie mogelijk, verkleinen de waarneembare voetafdruk en vergemakkelijken een brede taakstelling.
Aanvallen waarbij de malware wordt verspreid, blijken afhankelijk te zijn van droppers zoals Pelmeni en ShadowLoader om de modules te decoderen en te starten. De drie moduletypen die de basis vormen voor de architectuur van Kazuar worden hieronder vermeld:
-
Kernel
dat fungeert als de centrale coördinator voor het botnet door taken aan Worker-modules te geven, de communicatie met de Bridge-module beheert, logs van acties en verzamelde gegevens bijhoudt, anti-analyse- en sandbox-controles uitvoert, en de omgeving instelt door middel van een configuratie die verschillende parameters specificeert met betrekking tot command-and-control (C2) communicatie, data-exfiltratietiming, taakbeheer, scannen en verzamelen van bestanden, en monitoring. -
Brug
die fungeert als proxy tussen de leider-kernelmodule en de C2-server. -
Werknemer
dat toetsaanslagen registreert, Windows-gebeurtenissen vastlegt, taken bijhoudt en systeeminformatie, bestandslijsten en Messaging Application Programming Interface (MAPI)-details verzamelt.
Het Kernel-moduletype biedt drie interne communicatiemechanismen (via Windows Messaging, Mailslot en Named Pipes) en drie verschillende methoden om contact te maken met de door de aanvaller bestuurde infrastructuur (via Exchange Web Services, HTTP en WebSockets). De component “kiest” ook een enkele kernelleider om namens de andere kernelmodules met de Bridge-module te communiceren.
“Verkiezingen vinden plaats via Mailslot en de leider wordt gekozen op basis van de hoeveelheid werk (de tijd dat de Kernel-module actief is) gedeeld door interrupts (opnieuw opstarten, afmelden, proces beëindigd)”, legt Microsoft uit. “Zodra een leider is gekozen, kondigt deze zichzelf aan als leider en vertelt hij alle andere Kernel-modules om SILENT in te stellen. Alleen de gekozen leider is niet SILENT, waardoor de leider-Kernel-module activiteiten kan registreren en taken kan opvragen via de Bridge-module.”
Een andere functie van de module is het initiëren van verschillende threads om een benoemd pijpkanaal tussen Kernel-modules op te zetten voor inter-Kernel-communicatie, het specificeren van een externe communicatiemethode, en het faciliteren van Kernel-to-Worker- en Kernel-to-Bridge-communicatie via Windows-berichten of Mailslot.
Het einddoel van de kernel is het opvragen van nieuwe taken van de C2-server, het parseren van inkomende berichten, het toewijzen van taken aan de Worker, het bijwerken van de configuratie en het terugsturen van de resultaten van de taken naar de server. Bovendien bevat de module een taakafhandelaar die het mogelijk maakt om opdrachten van de kernelleider te verwerken.
Gegevens die door de Worker-module worden verzameld, worden vervolgens samengevoegd, gecodeerd en naar de werkmap van de malware geschreven, vanwaar deze naar de C2-server wordt geëxfiltreerd.
“Kazuar gebruikt een speciale werkmap als een gecentraliseerd staginggebied op de schijf om zijn interne activiteiten over modules heen te ondersteunen”, aldus Microsoft. “Deze map wordt gedefinieerd via configuratie en er wordt consequent naar verwezen met behulp van volledig gekwalificeerde paden om dubbelzinnigheid in uitvoeringscontexten te voorkomen.”
“Binnen de werkdirectory organiseert Kazuar gegevens op functie, waarbij taken, verzamelingsuitvoer, logbestanden en configuratiemateriaal op verschillende locaties worden geïsoleerd. Dit ontwerp zorgt ervoor dat de malware de uitvoering van taken kan loskoppelen van gegevensopslag en exfiltratie, de operationele status kan behouden bij herstarts en asynchrone activiteiten tussen modules kan coördineren, terwijl de directe interactie met de externe infrastructuur wordt geminimaliseerd.”
