El grupo de hackers respaldado por el estado ruso conocido como Turla ha transformado su backdoor personalizado Kazuar en una botnet modular peer-to-peer (P2P) diseñada para sigilo y acceso persistente a sistemas comprometidos.
Según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA), Turla está afiliado al Centro 16 del Servicio Federal de Seguridad (FSB) de Rusia. También se superpone con actividades rastreadas por la comunidad de ciberseguridad bajo los nombres ATG26, Blue Python, Iron Hunter, Pensive Ursa, Secret Blizzard (anteriormente Krypton), Snake, SUMMIT, Uroburos, Venomous Bear, Waterbug y WRAITH.
El grupo es conocido por atacar sectores gubernamentales, diplomáticos y de defensa en Europa y Asia Central, así como puntos finales previamente violados por Aqua Blizzard (también conocido como Actinium y Gamaredon) para apoyar los objetivos estratégicos del Kremlin.
Esta actualización se alinea con el objetivo más amplio de Secret Blizzard de obtener acceso a largo plazo a sistemas para la recopilación de inteligencia. Mientras que muchos actores de amenazas dependen del uso creciente de herramientas nativas (LOLBins) para evitar la detección, la progresión de Kazuar hacia un bot modular destaca cómo Secret Blizzard está incorporando resiliencia y sigilo directamente en sus herramientas.
Una herramienta clave en el arsenal de Turla es Kazuar, un sofisticado backdoor .NET que se ha utilizado consistentemente desde 2017. Los últimos hallazgos de Microsoft trazan su evolución de un marco 'monolítico' a un ecosistema de bot modular con tres tipos de componentes distintos, cada uno con roles bien definidos. Estos cambios permiten una configuración flexible, reducen la huella observable y facilitan la asignación de tareas.
Los ataques que distribuyen el malware han utilizado droppers como Pelmeni y ShadowLoader para descifrar y lanzar los módulos. Los tres tipos de módulos que forman la base de la arquitectura de Kazuar son:
- - Kernel: actúa como coordinador central de la botnet asignando tareas a los módulos Worker, gestiona la comunicación con el módulo Bridge, mantiene registros de acciones y datos recopilados, realiza comprobaciones antianálisis y de sandbox, y configura el entorno mediante una configuración que especifica varios parámetros relacionados con la comunicación C2, temporización de exfiltración, gestión de tareas, escaneo y recopilación de archivos, y monitoreo.
- - Bridge: actúa como proxy entre el módulo Kernel líder y el servidor C2.
- - Worker: registra pulsaciones de teclas, engancha eventos de Windows, rastrea tareas y recopila información del sistema, listados de archivos y detalles de la API de mensajería (MAPI).
El módulo Kernel expone tres mecanismos de comunicación interna (a través de mensajería de Windows, Mailslot y tuberías con nombre) y tres métodos diferentes para contactar con la infraestructura controlada por los atacantes (a través de Exchange Web Services, HTTP y WebSockets). El componente también 'elige' un único líder Kernel para comunicarse con el módulo Bridge en nombre de los otros módulos Kernel.
Microsoft explicó: 'Las elecciones ocurren a través de Mailslot, y el líder se elige en función de la cantidad de trabajo (tiempo que el módulo Kernel ha estado funcionando) dividido por las interrupciones (reinicios, cierres de sesión, procesos terminados). Una vez que se elige un líder, se anuncia como líder y dice a todos los demás módulos Kernel que se pongan en SILENT. Solo el líder elegido no está en SILENT, lo que permite que el módulo Kernel líder registre actividad y solicite tareas a través del módulo Bridge.'
Otra función del módulo es iniciar varios hilos para configurar un canal de tubería con nombre entre módulos Kernel para comunicación entre kernels, especificar un método de comunicación externo, así como facilitar la comunicación Kernel-Worker y Kernel-Bridge a través de mensajería de Windows o Mailslot. El objetivo final del Kernel es consultar nuevas tareas del servidor C2, analizar mensajes entrantes, asignar tareas al Worker, actualizar la configuración y enviar los resultados de las tareas de vuelta al servidor. Además, el módulo incorpora un manejador de tareas que permite procesar comandos emitidos por el líder Kernel.
Los datos recopilados por el módulo Worker se agregan, cifran y escriben en el directorio de trabajo del malware, desde donde se exfiltran al servidor C2. Microsoft dijo: 'Kazuar utiliza un directorio de trabajo dedicado como área de almacenamiento centralizada en disco para apoyar sus operaciones internas entre módulos. Este directorio se define mediante configuración y se referencia consistentemente usando rutas completamente calificadas para evitar ambigüedades entre contextos de ejecución. Dentro del directorio de trabajo, Kazuar organiza los datos por función, aislando tareas, salida de recopilación, registros y material de configuración en ubicaciones distintas. Este diseño permite que el malware desacople la ejecución de tareas del almacenamiento de datos y la exfiltración, mantenga el estado operativo entre reinicios y coordine la actividad asincrónica entre módulos minimizando la interacción directa con la infraestructura externa.'
