Turla atualiza backdoor Kazuar com avançada anti-análise para evitar detecção
1 de Novembro de 2023

A equipe de hackers ligada à Rússia conhecida como Turla foi observada usando uma versão atualizada de um backdoor de segunda fase conhecido como Kazuar.

As novas descobertas vêm da Unit 42 da Palo Alto Networks, que está rastreando o adversário sob seu apelido temático de constelação, Pensive Ursa.

"Conforme o código da revisão atualizada do Kazuar revela, os autores colocam ênfase especial na capacidade do Kazuar de operar em sigilo, evitar detecção e frustrar esforços de análise", disseram os pesquisadores de segurança Daniel Frank e Tom Fakterman em um relatório técnico.

"Eles fazem isso usando uma variedade de técnicas avançadas de anti-análise e protegendo o código do malware com práticas eficazes de criptografia e ofuscação."

Pensive Ursa, ativo desde pelo menos 2004, é atribuído ao Serviço Federal de Segurança Russo (FSB).

Em julho passado, o Computer Emergency Response Team da Ucrânia (CERT-UA) implicou o grupo de ameaças em ataques visando o setor de defesa na Ucrânia e na Europa Oriental com backdoors como DeliveryCheck e Kazuar.

Kazuar é um implante baseado em .NET que veio à luz em 2017 por suas habilidades de interagir furtivamente com hosts comprometidos e exfiltrar dados.

Em janeiro de 2021, a Kaspersky destacou a sobreposição de código-fonte entre a linhagem de malware e o Sunburst, outro backdoor usado em conjunto com o hack do SolarWinds de 2020.

As melhorias no Kazuar indicam que o ator de ameaças por trás da operação continua a evoluir seus métodos de ataque e crescer em sofisticação, expandindo sua capacidade de controlar os sistemas das vítimas.

Isso inclui o uso de ofuscação robusta e métodos de criptografia de strings personalizados para evitar detecção.

"Kazuar opera em um modelo de multithreading, enquanto cada uma das principais funcionalidades do Kazuar opera como seu próprio thread", explicaram os pesquisadores.

"Em outras palavras, um thread lida com o recebimento de comandos ou tarefas de seu [comando-e-controle], enquanto um thread de resolução lida com a execução desses comandos.

Este modelo de multithreading permite que os autores do Kazuar estabeleçam um controle de fluxo assíncrono e modular."

O malware suporta uma ampla gama de recursos - pulando de 26 comandos em 2017 para 45 na variante mais recente - que facilita o perfilamento do sistema abrangente, coleta de dados, roubo de credenciais, manipulação de arquivos e execução de comandos arbitrários.

Ele também incorpora capacidades para configurar tarefas automatizadas que serão executadas em intervalos especificados para coletar dados do sistema, tirar screenshots e pegar arquivos de pastas específicas.

A comunicação com os servidores C2 acontece via HTTP.

"Além da comunicação HTTP direta com o C2, o Kazuar tem a capacidade de funcionar como um proxy, para receber e enviar comandos para outros agentes do Kazuar na rede infectada", disseram os pesquisadores.

"Ele está fazendo essa comunicação proxy via named pipes, gerando seus nomes com base no GUID da máquina.

O Kazuar usa esses pipes para estabelecer comunicação peer-to-peer entre diferentes instâncias do Kazuar, configurando cada uma como um servidor ou um cliente."

Além disso, as extensas funcionalidades de anti-análise emprestam ao Kazuar um alto grau de sigilo, garantindo que ele permaneça ocioso e cesse toda a comunicação C2 se estiver sendo depurado ou analisado.

O desenvolvimento ocorre à medida que a Kaspersky revelou que várias organizações estatais e industriais na Rússia foram alvo de um backdoor personalizado baseado em Go que realiza roubo de dados como parte de uma campanha de spear-phishing que começou em junho de 2023.

O ator de ameaças por trás da operação é atualmente desconhecido.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...