De aan Rusland gelinkte hackploeg, bekend als Turla Er is waargenomen met behulp van een bijgewerkte versie van een bekende achterdeur in de tweede fase, genaamd Kazuar.
De nieuwe bevindingen zijn afkomstig van Palo Alto Networks Unit 42, die de tegenstander volgt onder de naam constellatiethema Peinzende Ursa.
“Zoals de code van de bijgewerkte revisie van Kazuar onthult, hebben de auteurs speciale nadruk gelegd op het vermogen van Kazuar om stealth te opereren, detectie te ontwijken en analyse-inspanningen te dwarsbomen”, aldus beveiligingsonderzoekers Daniel Frank en Tom Fakterman in een technisch rapport.
“Ze doen dit met behulp van een verscheidenheid aan geavanceerde anti-analysetechnieken en door de malwarecode te beschermen met effectieve versleutelings- en verduisteringspraktijken.”
Peinzende Ursa, actief sinds minstens 2004, wordt toegeschreven aan de Russische Federale Veiligheidsdienst (FSB). Eerder deze juli betrok het Computer Emergency Response Team van Oekraïne (CERT-UA) de dreigingsgroep bij aanvallen gericht op de defensiesector in Oekraïne en Oost-Europa met achterdeurtjes zoals DeliveryCheck en Kazuar.
Kazuar is een op .NET gebaseerd implantaat dat in 2017 voor het eerst aan het licht kwam vanwege zijn vermogen om heimelijk te communiceren met gecompromitteerde hosts en gegevens te exfiltreren. In januari 2021 benadrukte Kaspersky overlap in de broncode tussen de malwaresoort en Sunburst, een andere achterdeur die werd gebruikt in combinatie met de SolarWinds-hack van 2020.
De verbeteringen aan Kazuar geven aan dat de bedreigingsacteur achter de operatie zijn aanvalsmethoden blijft ontwikkelen en steeds geavanceerder wordt, terwijl hij zijn vermogen om de systemen van slachtoffers te controleren uitbreidt. Dit omvat het gebruik van robuuste verduistering en aangepaste string-encryptiemethoden om detectie te omzeilen.
“Kazuar werkt in een multithreading-model, terwijl elk van de belangrijkste functionaliteiten van Kazuar als zijn eigen thread werkt”, leggen de onderzoekers uit.
“Met andere woorden: één thread verwerkt de ontvangst van opdrachten of taken van zijn thread [command-and-control], terwijl een oplosserthread de uitvoering van deze opdrachten afhandelt. Dit multithreading-model stelt de auteurs van Kazuar in staat een asynchrone en modulaire stroomcontrole tot stand te brengen.”
De malware ondersteunt een breed scala aan functies – van 26 opdrachten in 2017 naar 45 in de nieuwste variant – die uitgebreide systeemprofilering, gegevensverzameling, diefstal van inloggegevens, bestandsmanipulatie en willekeurige uitvoering van opdrachten mogelijk maken.
Het bevat ook mogelijkheden om geautomatiseerde taken in te stellen die met gespecificeerde intervallen worden uitgevoerd om systeemgegevens te verzamelen, schermafbeeldingen te maken en bestanden uit bepaalde mappen te halen. Communicatie met C2-servers vindt plaats via HTTP.
“Naast directe HTTP-communicatie met de C2 heeft Kazuar de mogelijkheid om als proxy te functioneren en opdrachten te ontvangen en te verzenden naar andere Kazuar-agenten in het geïnfecteerde netwerk”, aldus de onderzoekers.
“Het doet deze proxy-communicatie via benoemde pipelines, waarbij hun namen worden gegenereerd op basis van de GUID van de machine. Kazuar gebruikt deze pipelines om peer-to-peer-communicatie tot stand te brengen tussen verschillende Kazuar-instanties, waarbij ze elk worden geconfigureerd als een server of een client.”
Bovendien geven de uitgebreide anti-analysefunctionaliteiten Kazuar een hoge mate van stealth, waardoor het inactief blijft en alle C2-communicatie beëindigt als er fouten worden opgespoord of geanalyseerd.
De ontwikkeling komt op het moment dat Kaspersky onthulde dat een aantal staats- en industriële organisaties in Rusland het doelwit waren van een aangepaste, op Go gebaseerde achterdeur die gegevensdiefstal uitvoert als onderdeel van een spearphishing-campagne die in juni 2023 van start ging. De dreigingsactor achter de operatie is momenteel onbekend.
