Grupul rus Secret Blizzard a transformat malware-ul Kazuar într-un botnet P2P modular - arhitectură pe module și „lider” ales intern pentru persistență și furt de date

O nouă versiune a malware-ului Kazuar funcționează ca botnet P2P modular, ceea ce complică detectarea și crește persistența în rețelele compromise , potrivit BleepingComputer . Evoluția este atribuită grupului Secret Blizzard , asociat în mod repetat cu operațiuni de spionaj cibernetic și cu servicii rusești de informații, iar schimbarea de arhitectură mută presiunea de pe „semnături” (indicatori statici) pe detecția comportamentală în companii și instituții. De ce contează pentru organizații: mai puțin trafic „vizibil”, mai multă reziliență Analiza Microsoft asupra unei variante recente arată că Kazuar a fost transformat într-o structură de tip peer-to-peer (P2P), în care nu toate sistemele infectate comunică direct cu infrastructura de comandă și control (C2). În practică, asta reduce „suprafața” de detecție: mai puține conexiuni externe repetate din mai multe stații, mai mult trafic intern care se poate confunda cu activitatea normală. Un element-cheie este mecanismul de „lider”: un singur sistem infectat dintr-un mediu compromis este ales să comunice cu C2, primește sarcini și le distribuie intern către celelalte sisteme infectate, care intră în mod „tăcut” și nu mai vorbesc direct cu serverele atacatorilor. „Liderul Kernel este modulul Kernel ales care comunică cu modulul Bridge în numele celorlalte module Kernel, reducând vizibilitatea prin evitarea unor volume mari de trafic extern de la mai multe gazde infectate”, explică Microsoft. Cum este construit noul Kazuar: trei module și comunicații interne criptate Microsoft descrie o arhitectură cu trei module distincte: Kernel : coordonatorul central; gestionează sarcini, controlează celelalte module, alege liderul și orchestrează comunicațiile și fluxul de date în botnet. Selecția liderului este internă și autonomă, pe baza unor criterii precum timpul de funcționare și numărul de reporniri/întreruperi. Bridge : „proxy”-ul de comunicații externe; face legătura între lider și infrastructura C2, folosind protocoale precum HTTP, WebSockets sau Exchange Web Services (EWS). Worker : execută efectiv operațiunile de spionaj și colectare de date. Comunicațiile interne se bazează pe IPC (comunicare între procese) prin mecanisme Windows precum Windows Messaging, Mailslots și „named pipes” (canale denumite), pentru a se amesteca în „zgomotul” operațional. Mesajele sunt criptate cu AES și serializate cu Google Protocol Buffers (Protobuf). Ce poate face pe sistemele compromise: de la keylogging la colectare de e-mail Modulul Worker este folosit pentru activități tipice de spionaj, inclusiv: înregistrarea tastelor (keylogging); capturi de ecran; colectare de date din sistemul de fișiere; recunoaștere de sistem și rețea; colectare de date e-mail/MAPI (inclusiv descărcări din Outlook); monitorizarea ferestrelor; furtul fișierelor recente. Datele colectate sunt criptate, stocate temporar local și apoi exfiltrate prin modulul Bridge. Microsoft mai subliniază că Kazuar a ajuns să suporte 150 de opțiuni de configurare , permițând operatorilor să ajusteze inclusiv programarea sarcinilor, temporizarea furtului de date și dimensiunea „bucăților” exfiltrate, injecția de procese și managementul execuției de comenzi. Ocolirea controalelor de securitate și implicații pentru apărare În zona de „bypass” (ocolire a controalelor), Kazuar include opțiuni pentru: ocolirea AMSI (Antimalware Scan Interface); ocolirea ETW (Event Tracing for Windows); ocolirea WLDP (Windows Lockdown Policy). În acest context, recomandarea Microsoft este ca organizațiile să prioritizeze detecția comportamentală în locul semnăturilor statice, tocmai pentru că modularitatea și configurabilitatea ridicată fac amenințarea mai greu de prins prin indicatori fixați. Context: un malware vechi, reutilizat în campanii de spionaj Kazuar este documentat din 2017, iar cercetătorii au identificat o „linie” de cod care ar merge până în 2005. Activitatea a fost asociată cu Turla, grup de spionaj legat de FSB, iar în anii anteriori a fost observat în atacuri care au vizat organizații guvernamentale europene și, ulterior, în atacuri împotriva Ucrainei. Pentru companii și instituții, schimbarea relevantă este operațională: un botnet P2P cu lider ales intern și cu comunicații interne criptate poate rămâne mai mult timp nedetectat, ceea ce crește riscul de scurgeri de documente și conținut de e-mail cu valoare politică sau strategică. [...]