Репортаж от Wedoany，Команда Microsoft Threat Intelligence 15 мая опубликовала подробный аналитический отчет, в котором раскрыла, что российская хакерская группировка национального уровня Turla полностью переработала свой фирменный .NET-бэкдор Kazuar в высокомодульную пиринговую бот-сеть. Согласно предыдущей оценке Агентства по кибербезопасности и безопасности инфраструктуры США, Turla подчиняется 16-му центру Федеральной службы безопасности России, и ее деятельность отслеживается киберсообществом под несколькими обозначениями, включая Secret Blizzard (ранее Krypton), ATG26, Waterbug, Uroburos и другими. Данное архитектурное обновление знаменует переход группировки от традиционной модели, основанной на единственном канале связи с бэкдором, к построению многоуровневой скрытой сети с внутренним разделением функций, избыточными каналами связи и возможностями противодействия анализу.

В отчете Microsoft отмечается, что за последние десять с лишним лет Kazuar непрерывно эволюционировал, и последняя версия полностью отказалась от многолетней монолитной архитектуры, перейдя к P2P-сети, основанной на взаимодействии трех модулей — Kernel (Ядро), Bridge (Мост) и Worker (Рабочий узел), каждый из которых выполняет свою функцию. Модуль Kernel является центральным блоком принятия решений в системе, отвечая за постановку задач Worker, управление журналами, выполнение проверок на анти-песочницу и анти-анализ, а также за настройку через конфигурационный файл таких параметров, как протокол связи с C2, время эксфильтрации данных и область сканирования файлов. Этот модуль использует три механизма для внутренней сетевой коммуникации: Windows Messaging, Mailslot и именованные каналы, а для связи с внешними C2-серверами — три способа: Exchange Web Services, HTTP и WebSockets.

В общей архитектуре Kernel также выполняет ключевую функцию — механизм выборов. Microsoft описывает в отчете, что все экземпляры Kernel автоматически избирают одного «Лидера» на основе времени работы и показателей производительности, и только этот Лидер имеет право напрямую связываться с модулем Bridge, в то время как остальные Kernel остаются в режиме молчания. Такая конструкция значительно снижает аномальный трафик, генерируемый бот-сетью в зараженной сети, что затрудняет обнаружение всей сети традиционными средствами, основанными на анализе характеристик трафика. Модуль Bridge выполняет роль прокси-уровня, отвечая за ретрансляцию всех коммуникаций между Лидером Kernel и C2-сервером, благодаря чему остальные внутренние узлы никогда не раскрываются во внешней сети, что дополнительно изолирует пути отслеживания. Модуль Worker выполняет конкретные задачи на конечных устройствах, включая кейлоггинг, перехват событий Windows, сбор системной информации, извлечение данных из почтового клиента MAPI, а также перечисление файлов и каталогов, одновременно выступая в роли щупальца, агрегирующего похищенную информацию в указанный рабочий каталог. Все модули доставляются и загружаются в память универсальным загрузчиком; для формирования минимальной функциональной единицы полноценной бот-сети требуется развертывание всех трех компонентов на одном хосте.

Механизмы кражи данных и обеспечения постоянства также являются ключевыми аспектами данного обновления. В отчете Microsoft раскрывается, что различные данные, собираемые модулем Worker с конечных устройств, шифруются и сохраняются в специально отведенной области временного хранения на диске, которая представляет собой единый буферный пул данных, поддерживаемый Kazuar на зараженном хосте. На практике только избранный Лидер Kernel имеет право извлекать данные из этой области и планировать их эксфильтрацию, в то время как остальные узлы только собирают данные, но не отправляют их, тем самым концентрируя аномальный трафик в единственной точке выхода. Kazuar также обладает настраиваемым механизмом периодичности эксфильтрации, позволяющим отправлять данные пакетами в заранее заданные временные окна, а не в режиме реального времени. Microsoft описывает это как логику планирования «безопасность в обмен на время», полностью разделяя сбор данных и их эксфильтрацию по циклам задач, что позволяет атакующим гибко регулировать темп отправки данных в зависимости от защищенности целевой среды, значительно снижая вероятность обнаружения с помощью поведенческого анализа и выявления аномального трафика. Область временного хранения также выполняет функцию восстановления задач с точки прерывания: даже после перезагрузки системы или длительного отключения от сети записи задач и уже собранные данные могут быть восстановлены, и выполнение продолжится.

Доставка атакующей нагрузки также демонстрирует многоуровневую стратегию скрытности. Ранние варианты Kazuar полагались на доставку кастомных бинарных нагрузок, в то время как текущая цепочка атак эволюционировала в комбинацию трех механизмов: скриптов VBScript, системных загрузчиков и перехвата COM-объектов. Раскрытый Microsoft загрузчик Kazuar v3 специально разработан для беспатчевого обхода интерфейсов отслеживания событий Windows и сканирования антивирусными средствами, при этом цепочка атак внедряет вредоносную логику в доверенные процессы путем перехвата подсистемы COM, не внося существенных изменений в системные файлы на протяжении всего процесса. Что касается путей доставки, Turla неоднократно использовала результаты первоначального вторжения другой российской APT-группировки Gamaredon для вторичного доступа. Gamaredon, действуя шумно и широкомасштабно, получает начальную точку входа, после чего Turla проводит точный отбор среди целей высокой ценности и развертывает Kazuar. Таким образом, между двумя командами сформировалась инженерная цепочка атакующего взаимодействия по принципу «масштабное заражение — точечный сбор урожая».

Атакующая деятельность Turla прослеживается как минимум с 2008 года, а Kazuar с момента своего первого появления в 2017 году остается основным инструментом группировки в долгосрочных операциях по проникновению. Microsoft в отчете прямо указывает, что основные цели атак Turla сосредоточены на правительственных, дипломатических и оборонных секторах Европы, Центральной Азии и Украины, а ее действия служат задачам стратегического сбора разведывательной информации ФСБ России. Примечательно, что в предыдущем совместном публичном заявлении Национального центра кибербезопасности Великобритании и Агентства национальной безопасности США также подтверждалось, что Turla взламывала инфраструктуру иранской группировки APT34 и использовала ее C2-системы для проведения «угонных» операций против иранских целей. Эта операция, крайне редкая в сфере APT, использовала шпионские инструменты третьей стороны в качестве трамплина для перенаправления следов атрибуции на субъектов угрозы из другой страны, демонстрируя исключительную зрелость Turla в разработке оперативной безопасности и геополитического прикрытия.

Опубликованный в тот же день бюллетень безопасности Symantec включил сигнатурные правила Kazuar в возможности обнаружения всей линейки своих продуктов, формируя многоуровневую защиту на основе гибридного подхода, сочетающего поведенческий анализ с помощью машинного обучения, сканирование репутации и традиционные сигнатуры. IBM X-Force выпустила рекомендации по операционной безопасности, советуя защищающейся стороне выйти за рамки обнаружения отдельных образцов и обратить внимание на поведенческие аномалии, такие как коммуникации при выборах лидера, внутренняя маршрутизация сообщений и периодическое временное хранение данных, а также проверять наличие внутреннего сетевого трафика обмена сообщениями между экземплярами Kernel. Microsoft также опубликовала хеш-суммы загрузчика Kazuar и трех модулей для сопоставления индикаторов компрометации (IoC) командами безопасности. В заключение отчета Microsoft отмечается, что модульная P2P-трансформация Kazuar — это не изолированная техническая итерация, а концентрированная демонстрация инженерных возможностей Turla по обеспечению скрытности: группировка больше не полагается на пассивные методы сокрытия, а напрямую встраивает устойчивость, избыточность и способность к долговременному присутствию в базовую архитектуру своего атакующего инструментария.

Данный материал скомпилирован платформой Wedoany. При цитировании материалов, созданных с помощью искусственного интеллекта (ИИ), необходимо обязательно указывать источник — «Wedoany». В случае выявления нарушения прав или иных проблем просим своевременно информировать нас. Сайт оперативно внесёт изменения или удалит материал.Электронная почта: news@wedoany.com