El grupo de hackers patrocinado por el estado ruso conocido como
Turla
ha transformado su puerta trasera personalizada Kazuar en una botnet modular peer-to-peer (P2P) diseñada para un acceso sigiloso y persistente a hosts comprometidos.
Se considera que Turla, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), está afiliada al Centro 16 del Servicio Federal de Seguridad (FSB) de Rusia. Se superpone con la actividad rastreada por la comunidad de ciberseguridad más amplia bajo los nombres ATG26, Blue Python, Iron Hunter, Pensive Ursa, Secret Blizzard (anteriormente Krypton), Snake, SUMMIT, Uroburos, Venomous Bear, Waterbug y WRAITH.
El grupo de hackers es conocido por sus ataques dirigidos a sectores gubernamentales, diplomáticos y de defensa en Europa y Asia Central, así como a puntos finales previamente violados por Aqua Blizzard (también conocido como Actinium y Gamaredon) para apoyar los objetivos estratégicos del Kremlin.
«Esta actualización se alinea con el objetivo más amplio de Secret Blizzard de obtener acceso a largo plazo a sistemas para la recopilación de inteligencia», dijo el equipo de Microsoft Threat Intelligence.
dicho
en un informe publicado el jueves. «Si bien muchos actores de amenazas dependen del uso cada vez mayor de herramientas nativas (binarios que viven fuera de la tierra (LOLBins)) para evitar la detección, la progresión de Kazuar hacia un robot modular resalta cómo Secret Blizzard está diseñando resiliencia y sigilo directamente en sus herramientas».
Una herramienta clave en el arsenal de Turla es Kazuar, una sofisticada puerta trasera .NET que se ha utilizado constantemente desde 2017. Los últimos hallazgos de Microsoft trazan su evolución de un marco «monolítico» a un ecosistema de bot modular que presenta tres tipos de componentes distintos, cada uno con sus propias funciones bien definidas. Estos cambios permiten una configuración flexible, reducen la huella observable y facilitan tareas amplias.
 |
| Descripción general de las interacciones de los módulos Kernel, Bridge y Worker |
Se ha descubierto que los ataques que distribuyen el malware dependen de cuentagotas como Pelmeni y ShadowLoader para descifrar e iniciar los módulos. Los tres tipos de módulos que forman la base de la arquitectura de Kazuar se enumeran a continuación:
-
Núcleo
que actúa como coordinador central de la botnet asignando tareas a los módulos Worker, gestiona la comunicación con el módulo Bridge, mantiene registros de acciones y datos recopilados, realiza antianálisis y comprobaciones de espacio aislado, y configura el entorno mediante una configuración que especifica varios parámetros relacionados con la comunicación de comando y control (C2), el tiempo de filtración de datos, la gestión de tareas, el escaneo y la recopilación de archivos, y el monitoreo. -
Puente
que actúa como proxy entre el módulo Kernel líder y el servidor C2. -
Obrero
que registra las pulsaciones de teclas, vincula eventos de Windows, realiza un seguimiento de las tareas y recopila información del sistema, listados de archivos y una interfaz de programación de aplicaciones de mensajería (
MAPI
) detalles.
El tipo de módulo Kernel expone tres mecanismos de comunicación interna (a través de mensajería de Windows, Mailslot y canalizaciones con nombre) y tres métodos diferentes para contactar con la infraestructura controlada por el atacante (a través de Exchange Web Services, HTTP y WebSockets). El componente también «elige» un único líder del Kernel para comunicarse con el módulo Bridge en nombre de los otros módulos del Kernel.
 |
| Cómo el líder del Kernel coordina las tareas de los trabajadores y utiliza el puente |
«Las elecciones se realizan a través de Mailslot y el líder se elige en función de la cantidad de trabajo (tiempo que el módulo Kernel ha estado ejecutándose) dividido por las interrupciones (reinicios, cierres de sesión, proceso finalizado)», explicó Microsoft. «Una vez que se elige un líder, se anuncia a sí mismo como líder y les dice a todos los demás módulos del Kernel que se pongan en SILENCIO. Sólo el líder elegido no está en SILENCIO, lo que permite que el módulo del Kernel líder registre la actividad y solicite tareas a través del módulo Bridge».
Otra función del módulo es iniciar varios subprocesos para configurar un canal de canalización con nombre entre los módulos del Kernel para las comunicaciones entre el Kernel, especificar un método de comunicación externo y facilitar la comunicación del Kernel al Trabajador y del Kernel al Puente a través de mensajería de Windows o Mailslot.
El objetivo final del Kernel es sondear nuevas tareas del servidor C2, analizar los mensajes entrantes, asignar tareas al trabajador, actualizar la configuración y enviar los resultados de las tareas al servidor. Además, el módulo incorpora un controlador de tareas que permite procesar comandos emitidos por el líder del Kernel.
Los datos recopilados por el módulo Worker se agregan, cifran y escriben en el directorio de trabajo del malware, desde donde se filtran al servidor C2.
«Kazuar utiliza un directorio de trabajo dedicado como área de preparación centralizada en disco para respaldar sus operaciones internas en todos los módulos», dijo Microsoft. «Este directorio se define a través de la configuración y se hace referencia a él constantemente mediante rutas de acceso completas para evitar ambigüedades en los contextos de ejecución».
«Dentro del directorio de trabajo, Kazuar organiza los datos por función, aislando tareas, resultados de recopilación, registros y material de configuración en distintas ubicaciones. Este diseño permite que el malware desacople la ejecución de tareas del almacenamiento y la exfiltración de datos, mantenga el estado operativo durante los reinicios y coordine la actividad asincrónica entre módulos mientras minimiza la interacción directa con la infraestructura externa».
