Secret Blizzard implementeert Kazuar Backdoor in Oekraïne met behulp van Amadey Malware-as-a-Service

De Russische natiestaatacteur volgde als Geheime sneeuwstorm Er is waargenomen dat malware die is geassocieerd met andere bedreigingsactoren, wordt gebruikt om een ​​bekende achterdeur genaamd Kazuar in te zetten op doelapparaten in Oekraïne.

De nieuwe bevindingen zijn afkomstig van het Microsoft Threat Intelligence-team, dat zei dat het tussen maart en april 2024 had waargenomen dat de tegenstander de Amadey-bot-malware gebruikte om aangepaste malware te downloaden op “specifiek geselecteerde” systemen die verband hielden met het Oekraïense leger.

Er wordt geschat dat de activiteit de tweede keer sinds 2022 is dat Secret Blizzard, ook bekend als Turla, een cybercriminaliteitscampagne heeft aangegrepen om zijn eigen tools in Oekraïne te verspreiden.

“Het besturen van de toegang van andere bedreigingsactoren benadrukt de aanpak van Secret Blizzard om zijn aanvalsvectoren te diversifiëren”, aldus het bedrijf in een rapport gedeeld met The Hacker News.

Enkele van de andere bekende methoden die door de hackploeg worden gebruikt, zijn onder meer adversary-in-the-middle (AitM)-campagnes, strategische webcompromissen (ook wel watering hole-aanvallen genoemd) en spear-phishing.

Secret Blizzard heeft een trackrecord in het aanvallen van verschillende sectoren om geheime toegang op lange termijn voor het verzamelen van inlichtingen te vergemakkelijken, maar hun primaire focus ligt op ministeries van buitenlandse zaken, ambassades, overheidsgebouwen, defensiedepartementen en defensiegerelateerde bedrijven over de hele wereld.

Het laatste rapport komt een week nadat de technologiegigant, samen met Lumen Technologies Black Lotus Labs, de kaping van Turla van 33 command-and-control (C2)-servers van een in Pakistan gevestigde hackgroep genaamd Storm-0156 onthulde om zijn eigen operaties uit te voeren .

De aanvallen op Oekraïense entiteiten omvatten het commando voeren over Amadey-bots om een ​​achterdeur in te zetten die bekend staat als Tavdig, die vervolgens wordt gebruikt om een ​​bijgewerkte versie van Kazuar te installeren, die in november 2023 werd gedocumenteerd door Palo Alto Networks Unit 42.

De cybercriminele activiteiten die verband houden met Amadey, waaronder vaak de executie van de cryptocurrency-miner XMRig, worden door Microsoft gevolgd onder de naam Storm-1919.

Amadey Malware-as-a-Service

Er wordt aangenomen dat Secret Blizzard de Amadey malware-as-a-service (MaaS) heeft gebruikt of heimelijk toegang heeft gekregen tot de Amadey command-and-control (C2)-panelen om een ​​PowerShell-dropper op doelapparaten te downloaden. De dropper bestaat uit een Base64-gecodeerde Amadey-payload waaraan een codesegment is toegevoegd, dat terugbelt naar een Turla C2-server.

“De noodzaak om de PowerShell-dropper te coderen met een aparte C2-URL die wordt beheerd door Secret Blizzard zou erop kunnen wijzen dat Secret Blizzard niet direct de controle had over het C2-mechanisme dat door de Amadey-bot wordt gebruikt”, aldus Microsoft.

De volgende fase omvat het downloaden van een op maat gemaakte verkenningstool met als doel details over het apparaat van het slachtoffer te verzamelen en waarschijnlijk te controleren of Microsoft Defender is ingeschakeld, waardoor de bedreigingsacteur uiteindelijk in staat wordt gesteld zich te richten op systemen die van verder belang zijn.

In dit stadium gaat de aanval verder met het inzetten van een PowerShell-dropper met de Tavdig-achterdeur en een legitiem binair bestand van Symantec dat gevoelig is voor side-loading van DLL. Tavdig wordt op zijn beurt gebruikt om aanvullende verkenningen uit te voeren en KazuarV2 te lanceren.

Microsoft zei dat het ook de bedreigingsacteur heeft gedetecteerd die een PowerShell-achterdeur heeft gebruikt die is gekoppeld aan een andere in Rusland gevestigde hackgroep genaamd Flying Yeti (ook bekend als Storm-1837 en UAC-0149) om een ​​PowerShell-dropper in te zetten die Tavdig insluit.

Onderzoek naar hoe Secret Blizzard de controle kreeg over de Storm-1837-backdoor of Amadey-bots om zijn eigen tools te downloaden, is momenteel aan de gang, merkte de technologiegigant op.

Het is onnodig om te zeggen dat de bevindingen opnieuw de nadruk leggen op het herhaalde streven van de bedreigingsacteur naar steunpunten van andere partijen, hetzij door de toegang te kopen of deze te stelen, om spionagecampagnes uit te voeren op een manier die zijn eigen aanwezigheid verhult.

“Het is niet ongebruikelijk dat actoren dezelfde tactieken of hulpmiddelen gebruiken, hoewel we zelden bewijs zien dat zij de infrastructuur van andere actoren compromitteren en gebruiken”, vertelde Sherrod DeGrippo, directeur Threat Intelligence Strategy bij Microsoft, aan The Hacker News.

“De meeste door de staat gesponsorde dreigingsactoren hebben operationele doelstellingen die afhankelijk zijn van een specifieke of zorgvuldig gecompromitteerde infrastructuur om de integriteit van hun operatie te behouden. Dit is potentieel een effectieve verduisteringstechniek om analisten van dreigingsinformatie te frustreren en de toekenning aan de juiste dreigingsactoren moeilijker te maken.”

Thijs Van der Does