El grupo ruso Turla ha transformado su backdoor Kazuar en una botnet modular P2P diseñada para el espionaje persistente y sigiloso. Esta herramienta, vinculada al FSB ruso, utiliza tres módulos (Kernel, Bridge y Worker) para coordinar tareas, evadir detecciones y recolectar datos de gobiernos y sectores de defensa. El objetivo final es obtener acceso a largo plazo para la recolección de inteligencia estratégica para el Kremlin.





El grupo de hacking ruso patrocinado por el estado conocido como Turla ha transformado su backdoor personalizado Kazuar en una botnet modular peer-to-peer (P2P) diseñada para el sigilo y el acceso persistente a hosts comprometidos.

Turla, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), se considera afiliado al Centro 16 del Servicio Federal de Seguridad de Rusia (FSB). Coincide con actividades rastreadas por la comunidad de ciberseguridad bajo los nombres de ATG26, Blue Python, Iron Hunter, Pensive Ursa, Secret Blizzard (anteriormente Krypton), Snake, SUMMIT, Uroburos, Venomous Bear, Waterbug y WRAITH.

El grupo de hacking es conocido por sus ataques dirigidos a los sectores gubernamentales, diplomáticos y de defensa en Europa y Asia Central, así como a endpoints previamente vulnerados por Aqua Blizzard (también conocidos como Actinium y Gamaredon) para apoyar los objetivos estratégicos del Kremlin.

"Esta actualización se alinea con el objetivo más amplio de Secret Blizzard de obtener acceso a largo plazo a los sistemas para la recopilación de inteligencia", afirmó el equipo de Microsoft Threat Intelligence en un informe publicado el jueves aquí. "Mientras que muchos actores de amenazas dependen del uso creciente de herramientas nativas (binarios living-off-the-land (LOLBins)) para evitar la detección, la progresión de Kazuar hacia un bot modular resalta cómo Secret Blizzard está diseñando resiliencia y sigilo directamente en sus herramientas".

Descripción general de las interacciones de los módulos Kernel, Bridge y Worker

Una herramienta clave en el arsenal de Turla es Kazuar, un sofisticado backdoor .NET que se ha utilizado consistentemente desde 2017. Los últimos hallazgos de Microsoft muestran su evolución desde un marco "monolítico" hacia un ecosistema de bots modular que presenta tres tipos de componentes distintos, cada uno con sus propios roles bien definidos. Estos cambios permiten una configuración flexible, reducen la huella observable y facilitan la asignación general de tareas.

Se ha descubierto que los ataques que distribuyen el malware dependen de droppers como Pelmeni y ShadowLoader para descifrar y lanzar los módulos. Los tres tipos de módulos que forman la base de la arquitectura de Kazuar se enumeran a continuación:

* Kernel, que actúa como el coordinador central de la botnet emitiendo tareas a los módulos Worker, gestiona la comunicación con el módulo Bridge, mantiene registros de acciones y datos recopilados, realiza comprobaciones de anti-análisis y sandbox, y configura el entorno mediante una configuración que especifica diversos parámetros relacionados con la comunicación de comando y control (C2), el tiempo de exfiltración de datos, la gestión de tareas, el escaneo y recopilación de archivos y el monitoreo.
* Bridge, que actúa como un proxy entre el módulo Kernel líder y el servidor C2.
* Worker, que registra pulsaciones de teclas, intercepta eventos de Windows, rastrea tareas y recopila información del sistema, listados de archivos y detalles de la Interfaz de Programación de Aplicaciones de Mensajería (MAPI).

El tipo de módulo Kernel expone tres mecanismos de comunicación interna (vía Windows Messaging, Mailslot y pipes nombrados) y tres métodos diferentes para contactar la infraestructura controlada por el atacante (vía Exchange Web Services, HTTP y WebSockets). El componente también "elige" a un único líder Kernel para comunicarse con el módulo Bridge en nombre de los otros módulos Kernel.

Cómo el líder Kernel coordina las tareas del Worker y utiliza el Bridge

"Las elecciones ocurren a través de Mailslot, y el líder es elegido basándose en la cantidad de trabajo (tiempo que el módulo Kernel ha estado ejecutándose) dividido por las interrupciones (reinicios, cierres de sesión, proceso terminado)", explicó Microsoft. "Una vez elegido el líder, se anuncia como tal y ordena a todos los demás módulos Kernel que se pongan en modo SILENT. Solo el líder elegido no está en SILENT, lo que permite que el módulo Kernel líder registre la actividad y solicite tareas a través del módulo Bridge".

Otra función del módulo es iniciar varios hilos para establecer un canal de pipe nombrado entre los módulos Kernel para comunicaciones inter-Kernel, especificar un método de comunicación externa, así como facilitar la comunicación Kernel-to-Worker y Kernel-to-Bridge a través de mensajería de Windows o Mailslot.

El objetivo final del Kernel es consultar nuevas tareas del servidor C2, analizar los mensajes entrantes, asignar tareas al Worker, actualizar la configuración y enviar los resultados de las tareas de vuelta al servidor. Además, el módulo incorpora un gestor de tareas que hace posible procesar los comandos emitidos por el líder Kernel.

Los datos recopilados por el módulo Worker son luego agregados, cifrados y escritos en el directorio de trabajo del malware, desde donde son exfiltrados al servidor C2.

"Kazuar utiliza un directorio de trabajo dedicado como un área de preparación centralizada en el disco para soportar sus operaciones internas entre módulos", dijo Microsoft. "Este directorio se define a través de la configuración y se referencia consistentemente utilizando rutas totalmente calificadas para evitar ambigüedades en los contextos de ejecución".

"Dentro del directorio de trabajo, Kazuar organiza los datos por función, aislando la asignación de tareas, la salida de la recopilación, los registros y el material de configuración en ubicaciones distintas. Este diseño permite al malware desvincular la ejecución de tareas del almacenamiento y la exfiltración de datos, mantener el estado operativo a través de los reinicios y coordinar la actividad asincrónica entre módulos mientras minimiza la interacción directa con la infraestructura externa".

Fuente:
THN