L’équipe de hackers liée à la Russie, connue sous le nom de Turla a été observé à l’aide d’une version mise à jour d’une porte dérobée de deuxième étape connue appelée Kazuar.
Les nouvelles découvertes proviennent de l’unité 42 de Palo Alto Networks, qui suit l’adversaire sous son surnom de constellation. Ourse pensive.
« Comme le révèle le code de la révision améliorée de Kazuar, les auteurs ont mis un accent particulier sur la capacité de Kazuar à opérer de manière furtive, à échapper à la détection et à contrecarrer les efforts d’analyse », ont déclaré les chercheurs en sécurité Daniel Frank et Tom Fakterman. dit dans un rapport technique.
« Ils le font en utilisant diverses techniques avancées d’anti-analyse et en protégeant le code du malware avec des pratiques efficaces de cryptage et d’obscurcissement. »
La pensive Ursa, active depuis au moins 2004, est attribuée au Service fédéral de sécurité russe (FSB). Plus tôt en juillet dernier, l’équipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA) a impliqué le groupe menaçant dans des attaques ciblant le secteur de la défense en Ukraine et en Europe de l’Est avec des portes dérobées telles que DeliveryCheck et Kazuar.
Kazuar est un implant basé sur .NET qui a été découvert pour la première fois en 2017 pour sa capacité à interagir furtivement avec des hôtes compromis et à exfiltrer des données. En janvier 2021, Kaspersky a souligné les chevauchements de code source entre la souche du malware et Sunburst, une autre porte dérobée utilisée conjointement avec le piratage SolarWinds de 2020.
Les améliorations apportées à Kazuar indiquent que l’acteur menaçant à l’origine de l’opération continue de faire évoluer ses méthodes d’attaque et de gagner en sophistication, tout en élargissant sa capacité à contrôler les systèmes des victimes. Cela inclut l’utilisation de méthodes robustes d’obscurcissement et de cryptage de chaînes personnalisées pour échapper à la détection.
« Kazuar fonctionne dans un modèle multithreading, tandis que chacune des principales fonctionnalités de Kazuar fonctionne comme son propre thread », ont expliqué les chercheurs.
« En d’autres termes, un thread gère la réception de commandes ou de tâches de son [command-and-control], tandis qu’un thread de résolution gère l’exécution de ces commandes. Ce modèle multithreading permet aux auteurs de Kazuar d’établir un contrôle de flux asynchrone et modulaire. »
Le malware prend en charge un large éventail de fonctionnalités – passant de 26 commandes en 2017 à 45 dans la dernière variante – qui facilitent le profilage complet du système, la collecte de données, le vol d’informations d’identification, la manipulation de fichiers et l’exécution de commandes arbitraires.
Il intègre également des fonctionnalités permettant de configurer des tâches automatisées qui s’exécuteront à des intervalles spécifiés pour collecter des données système, prendre des captures d’écran et récupérer des fichiers dans des dossiers particuliers. La communication avec les serveurs C2 s’effectue via HTTP.
« En plus de la communication HTTP directe avec le C2, Kazuar a la capacité de fonctionner comme un proxy, pour recevoir et envoyer des commandes à d’autres agents Kazuar dans le réseau infecté », ont indiqué les chercheurs.
« Il effectue cette communication proxy via canaux nommés, générant leurs noms en fonction du GUID de la machine. Kazuar utilise ces canaux pour établir une communication peer-to-peer entre différentes instances Kazuar, en configurant chacune comme serveur ou client.
De plus, les fonctionnalités anti-analyse étendues confèrent à Kazuar un haut degré de furtivité, garantissant qu’il reste inactif et arrête toute communication C2 s’il est débogué ou analysé.
Le développement intervient alors que Kaspersky révélé qu’un certain nombre d’organisations étatiques et industrielles en Russie ont été ciblées par une porte dérobée personnalisée basée sur Go qui effectue le vol de données dans le cadre d’une campagne de spear phishing qui a débuté en juin 2023. L’acteur menaçant derrière l’opération est actuellement inconnu.