O grupo de hackers russo Secret Blizzard desenvolveu o backdoor Kazuar, usado há anos, em uma botnet modular peer-to-peer (P2P) projetada para garantir persistência de longo prazo, furtividade e coleta de dados.
Segundo a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA), o Secret Blizzard é considerado ligado ao Centro 16 do Serviço Federal de Segurança da Rússia (FSB), e sua atividade se sobrepõe à de Turla, Uroburos e Venomous Bear. A atividade do grupo também é associada pela comunidade de cibersegurança a nomes como ATG26, Blue Python, Iron Hunter, Pensive Ursa, Secret Blizzard, antes conhecido como Krypton, Snake, SUMMIT, Venomous Bear, Waterbug e WRAITH.
O grupo é conhecido por mirar organizações governamentais e diplomáticas, entidades ligadas à defesa e sistemas críticos em toda a Europa, na Ásia e na Ucrânia, além de endpoints que já haviam sido comprometidos pela Aqua Blizzard, também conhecida como Actinium e Gamaredon, em apoio aos objetivos estratégicos do Kremlin.
Essa evolução está alinhada ao objetivo mais amplo do Secret Blizzard de obter acesso de longo prazo a sistemas para coleta de inteligência, afirmou a equipe de Microsoft Threat Intelligence em relatório publicado na quinta-feira.
O malware Kazuar é documentado desde 2017, mas pesquisadores descobriram que sua linhagem de código remonta a 2005. Sua atividade foi vinculada ao grupo de espionagem Turla, que trabalha para o FSB. Em 2020, pesquisadores expuseram sua implantação em ataques contra órgãos governamentais europeus. Três anos depois, ele voltou a ser observado em ataques contra a Ucrânia.
Embora muitos threat actors recorram cada vez mais ao uso de ferramentas nativas do sistema, os chamados living-off-the-land binaries, ou LOLBins, para evitar detecção, a evolução do Kazuar para uma botnet modular mostra como o Secret Blizzard vem incorporando resiliência e furtividade diretamente em suas ferramentas.
Uma peça central no arsenal do Turla é o Kazuar, um backdoor avançado em .NET que vem sendo usado de forma consistente desde 2017.
As descobertas mais recentes da Microsoft mostram que ele evoluiu de um framework monolítico para um ecossistema modular de bot, com três tipos distintos de componentes e funções bem definidas.
Pesquisadores da Microsoft analisaram uma variante recente do Kazuar e observaram que o malware agora opera com três módulos distintos: kernel, bridge e worker.
O módulo Kernel atua como coordenador central, gerencia tarefas, controla os demais módulos, elege um líder e orquestra as comunicações e o fluxo de dados em toda a botnet. O líder é, na prática, um sistema infectado dentro de um ambiente comprometido ou de um segmento de rede, que se comunica com o servidor de command and control, ou C2, recebe tarefas e as repassa internamente aos demais sistemas infectados. Os sistemas que não são líderes entram em modo SILENT e não se comunicam diretamente com o C2, o que aumenta a furtividade e reduz a superfície de detecção.
“O líder Kernel é o módulo Kernel eleito que se comunica com o módulo Bridge em nome dos demais módulos Kernel, reduzindo a visibilidade ao evitar grandes volumes de tráfego externo vindos de múltiplos hosts infectados”, explica a Microsoft.
A seleção do líder é interna e autônoma, com base em tempo de atividade, reinicializações e contagens de interrupções.
O módulo Bridge atua como um proxy de comunicações externas, encaminhando o tráfego entre o líder Kernel eleito e a infraestrutura remota de C2 usando protocolos como HTTP, WebSockets ou Exchange Web Services (EWS).
As comunicações internas dependem de IPC, ou comunicação entre processos, incluindo Windows Messaging, Mailslots e pipes nomeados, o que ajuda a camuflar a atividade como ruído operacional normal. As mensagens são criptografadas com AES e serializadas com Google Protocol Buffers (Protobuf).
O módulo Worker executa as operações reais de espionagem, como registro de teclas, captura de telas, coleta de dados do sistema de arquivos, reconhecimento do sistema e da rede, coleta de dados de e-mail/MAPI, incluindo downloads do Outlook, monitoramento de janelas e roubo de arquivos recentes.
As campanhas que distribuem o malware têm usado droppers como Pelmeni e ShadowLoader para descriptografar e iniciar os módulos.
A Microsoft destaca a versatilidade do Kazuar, que agora oferece 150 opções de configuração, permitindo aos operadores ativar ou desativar mecanismos específicos de evasão de segurança, agendar tarefas, definir o momento do roubo de dados e o tamanho dos blocos de exfiltração, executar injeção de processos, gerenciar tarefas e comandos, entre outras funções. Entre as opções de evasão, o Kazuar agora inclui bypass de AMSI, bypass de ETW e bypass da Windows Lockdown Policy (WLDP).
O objetivo final do Kernel é consultar novas tarefas no servidor C2, analisar as mensagens recebidas, atribuir tarefas ao Worker, atualizar a configuração e enviar os resultados de volta ao servidor. Além disso, o módulo incorpora um gerenciador de tarefas que permite processar comandos emitidos pelo Kernel líder.
Os dados coletados pelo módulo Worker são criptografados, armazenados localmente e depois exfiltrados por meio do módulo Bridge. O Kazuar usa um diretório de trabalho dedicado como área central de preparação em disco para sustentar suas operações internas entre os módulos, afirmou a Microsoft.
Esse diretório é definido por configuração e é sempre referenciado por caminhos completos, para evitar ambiguidades entre diferentes contextos de execução.
Dentro do diretório de trabalho, o Kazuar organiza os dados por função, separando a execução de tarefas, a saída da coleta, os logs e os materiais de configuração em locais distintos.
Esse desenho permite ao malware desacoplar a execução das tarefas do armazenamento e da exfiltração de dados, manter o estado operacional após reinicializações e coordenar atividades assíncronas entre módulos, reduzindo ao mínimo a interação direta com a infraestrutura externa.
A Microsoft recomenda que as empresas concentrem suas defesas na detecção comportamental, e não apenas em assinaturas estáticas, já que a natureza modular e altamente configurável do Kazuar torna a ameaça particularmente evasiva.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...