Un grupo de hackers patrocinado por el estado ruso conocido como Turla transformó la puerta trasera personalizada Katar en una botnet modular peer-to-peer (P2P) diseñada para un acceso sigiloso y persistente a hosts comprometidos.
Según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), se ha evaluado que Turla pertenece al Centro 16 del Servicio Federal de Seguridad (FSB) de Rusia. Esto se superpone con la actividad rastreada por la comunidad de ciberseguridad más amplia bajo los nombres ATG26, Blue Python, Iron Hunter, Pensive Ursa, Secret Blizzard (anteriormente Krypton), Snake, SUMMIT, Uroburos, Venomous Bear, Waterbug y WRAITH.
El grupo de piratas informáticos es conocido por sus ataques dirigidos a sectores gubernamentales, diplomáticos y de defensa en Europa y Asia Central, así como a puntos finales previamente comprometidos por Aqua Blizzard (también conocido como Actinium y Gamaredon) en apoyo de los objetivos estratégicos del Kremlin.
«Esta actualización está en línea con el objetivo más amplio de Secret Blizzard de obtener acceso a largo plazo al sistema para la recopilación de inteligencia», dijo el equipo de Microsoft Threat Intelligence en un informe publicado el jueves. «Si bien muchos actores de amenazas dependen de un mayor uso de herramientas nativas (binarios residentes (LOLBins)) para evitar la detección, la evolución de Kazuar a un robot modular resalta cómo Secret Blizzard está generando resiliencia y sigilo directamente en sus herramientas».
Una herramienta clave en el arsenal de Turla es Katar, una sofisticada puerta trasera .NET que se ha utilizado constantemente desde 2017. Los últimos hallazgos de Microsoft demuestran una evolución de un marco «monolítico» a un ecosistema de bot modular que presenta tres tipos de componentes distintos, cada uno con una función claramente definida. Estos cambios permiten una configuración flexible, reducen el espacio visible y facilitan una amplia gama de tareas.
Descripción general de las interacciones del kernel, el puente y el módulo de trabajo
Se ha descubierto que los ataques que distribuyen malware dependen de droppers como Pelmeni y ShadowLoader para descifrar e iniciar módulos. Los tres tipos de módulos que forman la base de la arquitectura de Zuar se enumeran a continuación.
El kernel actúa como coordinador central de la botnet asignando tareas a los módulos de trabajo, gestionando la comunicación con los módulos puente, manteniendo registros de acciones y datos recopilados, realizando análisis anti-análisis y comprobaciones de espacio aislado, y configurando el entorno con configuraciones que especifican varios parámetros relacionados con la comunicación de comando y control (C2), el tiempo de extracción de datos, la gestión de tareas, el escaneo y la recopilación de archivos, y el monitoreo. El puente actúa como proxy entre el módulo del kernel del lector y el servidor C2. Los trabajadores registran las pulsaciones de teclas, conectan eventos de Windows, realizan un seguimiento de las tareas y recopilan información del sistema, listas de archivos y detalles de la interfaz de programación de aplicaciones de mensajería (MAPI).
El tipo de módulo del kernel expone tres mecanismos de comunicación interna (a través de Windows Messaging, Mailslot y Named Pipes) y tres formas diferentes de conectarse a la infraestructura controlada por el atacante (a través de Exchange Web Services, HTTP y WebSockets). Este componente también «elige» un único líder del núcleo que se comunica con el módulo puente en nombre de otros módulos del núcleo.
Cómo los líderes del núcleo coordinan las tareas de los trabajadores y utilizan puentes
«Las elecciones se llevan a cabo a través de ranuras de correo y los líderes se eligen en función de la carga de trabajo (el tiempo que se ejecuta un módulo del kernel) dividido por las interrupciones (reinicios, cierres de sesión, terminaciones de procesos)», explicó Microsoft. «Una vez que se elige un líder, se anuncia a sí mismo como líder y les dice a todos los demás módulos del kernel que se pongan en SILENCIO. Sólo el líder elegido no es SILENCIOSO, por lo que el módulo del kernel líder puede registrar la actividad y solicitar tareas a través del módulo puente».
Otra característica de este módulo es iniciar varios subprocesos, configurar canales de canalización con nombre entre módulos del kernel para la comunicación entre núcleos, especificar métodos de comunicación externos y facilitar la comunicación del núcleo al trabajador y del núcleo al puente a través de mensajería de Windows o ranuras de correo.
El objetivo final del kernel es buscar nuevas tareas desde el servidor C2, analizar mensajes entrantes, asignar tareas a los trabajadores, actualizar la configuración y enviar los resultados de las tareas al servidor. Además, este módulo incluye un controlador de tareas que le permite procesar comandos emitidos por lectores del kernel.
Los datos recopilados por el módulo de trabajo luego se agregan, cifran y escriben en el directorio de trabajo del malware, desde donde se extraen al servidor C2.
«Kazuar utiliza un directorio de trabajo dedicado como área central de preparación en el disco para soportar operaciones internas entre módulos», dijo Microsoft. «Este directorio está definido por configuración y se hace referencia a él constantemente mediante una ruta de acceso completa para evitar ambigüedades en los contextos de ejecución».
«Dentro del directorio de trabajo, Kazuar organiza los datos por funcionalidad, separando tareas, resultados de recopilación, registros y materiales de configuración en ubicaciones separadas. Este diseño permite que el malware separe la ejecución de tareas del almacenamiento y extracción de datos, mantenga el estado operativo durante los reinicios y coordine la actividad asincrónica entre módulos mientras minimiza la interacción directa con la infraestructura externa».
Source link
