Российская группировка Turla модернизировала бэкдор Kazuar в модульный P2P-ботнет для усиления скрытого постоянного доступа
2026-05-16 11:18
В избр.

Репортаж от Wedoany,Команда Microsoft Threat Intelligence 15 мая опубликовала подробный аналитический отчет, в котором раскрывается, что российская хакерская группировка национального уровня Turla полностью переработала свой фирменный .NET-бэкдор Kazuar в высокомодульную пиринговую бот-сеть. Согласно предыдущей оценке Агентства по кибербезопасности и безопасности инфраструктуры США, Turla подчиняется 16-му центру Федеральной службы безопасности России, и ее деятельность отслеживается киберсообществом под несколькими обозначениями, включая Secret Blizzard (ранее Krypton), ATG26, Waterbug, Uroburos и другими. Данное архитектурное обновление знаменует переход группировки от традиционной модели, основанной на единственном канале связи с бэкдором, к построению многоуровневой скрытой сети с внутренним разделением функций, избыточными каналами связи и возможностями противодействия анализу.

В отчете Microsoft отмечается, что Kazuar непрерывно эволюционировал на протяжении последних десяти лет, и последняя версия полностью отказалась от многолетней монолитной архитектуры, перейдя к P2P-сети, основанной на взаимодействии трех модулей — Kernel (ядро), Bridge (мост) и Worker (рабочий узел), каждый из которых выполняет свою функцию. Модуль Kernel является центральным блоком принятия решений системы, отвечающим за постановку задач Worker'у, управление журналами, выполнение проверок на анти-песочницу и анти-анализ, а также за настройку через конфигурационный файл таких параметров, как протокол связи с C2, время эксфильтрации данных и область сканирования файлов. Этот модуль использует три механизма для внутренней сетевой коммуникации: Windows Messaging, Mailslot и именованные каналы, а для установления соединения с внешними C2-серверами применяет три способа: Exchange Web Services, HTTP и WebSockets.

В общей архитектуре Kernel также выполняет ключевую функцию — механизм выборов. Microsoft описывает в отчете, что все экземпляры Kernel автоматически избирают одного «Лидера» на основе времени работы и показателей производительности. Только этот Лидер имеет право напрямую связываться с модулем Bridge, в то время как остальные Kernel сохраняют молчание. Такая конструкция значительно сокращает аномальный трафик, генерируемый бот-сетью в зараженной сети, что затрудняет обнаружение всей сети традиционными средствами, основанными на анализе характеристик трафика. Модуль Bridge выполняет роль прокси-уровня, отвечая за ретрансляцию всех коммуникаций между Лидером Kernel и C2-серверами, благодаря чему остальные внутренние узлы никогда не раскрываются во внешней сети, что дополнительно изолирует пути отслеживания. Модуль Worker выполняет конкретные задачи на конечных точках, включая кейлоггинг, перехват событий Windows, сбор системной информации, извлечение данных из почтового клиента MAPI, а также перечисление файлов и каталогов, одновременно выступая в роли щупальца, агрегирующего похищенную информацию в указанный рабочий каталог. Все модули доставляются и загружаются в память универсальным загрузчиком; для формирования минимальной функциональной единицы полноценной бот-сети требуется развертывание всех трех компонентов на одном хосте.

Механизмы кражи данных и обеспечения постоянства также являются ключевыми аспектами данного обновления. В отчете Microsoft раскрывается, что различные данные, собираемые модулем Worker с конечных точек, шифруются и сохраняются в специально отведенной области временного хранения на диске, которая представляет собой единый буферный пул данных, поддерживаемый Kazuar на зараженном хосте. На практике только избранный Лидер Kernel имеет право извлекать данные из этой области временного хранения и планировать их эксфильтрацию, в то время как остальные узлы только собирают данные, но не отправляют их, тем самым концентрируя аномальный трафик в единственной точке выхода. Kazuar также обладает настраиваемым механизмом периодичности эксфильтрации, позволяющим отправлять данные пакетами в заранее заданные временные окна, а не в режиме реального времени. Microsoft описывает это как логику планирования «безопасность в обмен на время», полностью разделяющую сбор данных и их эксфильтрацию в рамках цикла задач. Злоумышленник может гибко регулировать темп отправки данных в зависимости от состояния защиты целевой среды, тем самым значительно снижая вероятность обнаружения с помощью поведенческого анализа и выявления аномального трафика. Область временного хранения также выполняет функцию восстановления задач с точки прерывания: даже после перезагрузки системы или длительного отключения от сети записи задач и уже собранные данные могут быть восстановлены, и выполнение продолжится.

Доставка атакующей полезной нагрузки также демонстрирует многоуровневую стратегию скрытности. Ранние варианты Kazuar полагались на доставку кастомных бинарных полезных нагрузок, тогда как текущая цепочка атак эволюционировала в комбинацию трех механизмов: использование скриптов VBScript, системных загрузчиков и перехват COM-объектов. Раскрытый Microsoft загрузчик Kazuar v3 специально разработан для беспатчевого обхода интерфейсов отслеживания событий Windows и сканирования антивирусными средствами, при этом цепочка атак внедряет вредоносную логику в выполнение доверенных процессов путем перехвата подсистемы COM, не производя фактических изменений системных файлов на протяжении всего процесса. Что касается путей доставки, Turla неоднократно использовала результаты первоначального вторжения другой российской APT-группировки Gamaredon для вторичного доступа. Gamaredon, действуя шумно и широкомасштабно, получает начальную точку входа, после чего Turla проводит точный отбор целей высокой ценности и развертывает Kazuar. Таким образом, между двумя командами сформировалась инженерная цепочка атакующего взаимодействия по принципу «масштабное заражение — точечный сбор урожая».

Активность Turla прослеживается как минимум с 2008 года, а Kazuar с момента своего первого появления в 2017 году остается ключевым инструментом группировки в средне- и долгосрочных операциях по проникновению. Microsoft в отчете прямо указывает, что основными целями атак Turla являются правительственные, дипломатические и оборонные учреждения Европы, Центральной Азии и Украины, а ее действия служат задачам стратегического сбора разведывательной информации ФСБ России. Примечательно, что в предыдущем совместном публичном заявлении Национального центра кибербезопасности Великобритании и Агентства национальной безопасности США также подтверждалось, что Turla взламывала инфраструктуру иранской группировки APT34 и использовала ее C2-системы для проведения «угонных» вторжений против иранских целей. Эта операция является крайне редкой в сфере APT, поскольку использование шпионского инструментария третьей стороны в качестве трамплина для перенаправления следов атрибуции на субъектов угроз из другой страны демонстрирует исключительную зрелость Turla в разработке оперативной безопасности и геополитического прикрытия.

Опубликованный в тот же день бюллетень безопасности Symantec включил сигнатурные правила Kazuar в возможности обнаружения всей линейки своих продуктов, формируя многоуровневое блокирование на основе гибридного подхода: поведенческого анализа с использованием машинного обучения, сканирования репутации и традиционных сигнатур. IBM X-Force выпустила рекомендации по операционной безопасности, советуя защищающейся стороне выйти за рамки обнаружения отдельных образцов и обратить внимание на поведенческие аномалии, такие как коммуникации при выборах лидера, внутренняя маршрутизация сообщений и периодическое временное хранение данных, а также проверять наличие внутреннего сетевого трафика обмена сообщениями между экземплярами Kernel. Microsoft также опубликовала хеш-суммы загрузчика Kazuar и трех модулей для сопоставления индикаторов компрометации (IoC) командами безопасности. В заключение отчета Microsoft отмечается, что модульная P2P-трансформация Kazuar — это не изолированная техническая итерация, а концентрированная демонстрация инженерных возможностей Turla по обеспечению скрытности: группировка больше не полагается на пассивные методы сокрытия по принципу «жить за счет горы, на которой сидишь», а напрямую встраивает устойчивость, избыточность и способность к долговременному присутствию в базовую архитектуру своего атакующего инструментария.

Данный материал скомпилирован платформой Wedoany. При цитировании материалов, созданных с помощью искусственного интеллекта (ИИ), необходимо обязательно указывать источник — «Wedoany». В случае выявления нарушения прав или иных проблем просим своевременно информировать нас. Сайт оперативно внесёт изменения или удалит материал.Электронная почта: news@wedoany.com

Эта новость является результатом компиляции и перепечатки информации из глобального Интернета и стратегических партнеров. Она предназначена только для читателей. Если у вас возникнут какие-либо нарушения или другие проблемы, пожалуйста, своевременно сообщите нам. Этот сайт изменить или удалить ее. Перепечатка этой статьи без официального разрешения строго запрещена.электронная почта:news@wedoany.com
Связанные продукты
Связанные рекомендации
Китайская компания JULIANG ENGINE (Juliang Engine) выпустила рекламную модель управления Mamoda 2.5
2026-07-03
Китайская модель с открытым исходным кодом Kimi K2.7 от компании Moonshot AI интегрирована в GitHub Copilot
2026-07-03
Китайская компания Shenhao Technology планирует закупить серверы на 2 миллиарда юаней для сдачи в аренду вычислительных мощностей
2026-07-03
Китайская компания Digital China выиграла тендер на поставку серверов Huawei для интеллектуальных вычислений в крупный государственный банк на сумму 371 млн юаней
2026-07-03
Китайская компания Contemporary Amperex Technology (CATL) приобрела долю в разработчике технологий человекоподобных роботов Robo Party
2026-07-03
Китайская компания Xihe Technology готовится к выходу на Научно-технический инновационный совет (STAR Market), доля мирового рынка кремниевых фотонных чипов составляет около 13%
2026-07-03
Microsoft вкладывает 2,5 миллиарда долларов в создание команды из 6000 специалистов по внедрению ИИ
2026-07-03
Государственное управление по делам киберпространства Китая вновь опубликовало для общественного обсуждения «Меры по управлению услугами интернет-информации (проект поправок для сбора мнений)»
2026-07-03
Китайский Alibaba Cloud запустил корпоративную версию Qoder с QMind — облачной базой знаний
2026-07-03
Австрийская компания ams OSRAM назначила бывшего руководителя NVIDIA ответственным за оптические межсоединения для центров обработки данных ИИ
2026-07-03
Последние новости
1
Fortuna Metals получила продукт рутила с содержанием оксида титана более 96% на проекте в Малави
2
Kaoko Metals обнаружила новое обнажение медной минерализации на проекте Chalkos в Намибии
3
Lindian Resources завершила первый взрыв на редкоземельном руднике Канганкунде в Малави, начав добычу
4
Китайская компания JULIANG ENGINE (Juliang Engine) выпустила рекламную модель управления Mamoda 2.5
5
Канадская компания Galloper Gold объявила о стратегическом партнерстве с Tripp Marine по транспортировке тяжелого оборудования на баржах
6
Южнокорейская сталелитейная группа POSCO объявила о реструктуризации трех основных направлений бизнеса с планом инвестиций в размере 16,7 трлн вон
7
Китайская модель с открытым исходным кодом Kimi K2.7 от компании Moonshot AI интегрирована в GitHub Copilot
8
Azzuro Resources обнаружила высокосортную медно-золотую минерализацию на участке Red Hill в Монголии: 21,45 метра с содержанием меди 1,70%
9
Австралийская Silver Mines представила отчет об оценке разработки серебряного рудника Боуденс
10
В Мексике открылся Горный форум Гуанахуато 2026, подчеркивающий стратегическую роль горнодобывающей промышленности