🌟 Atualização imperdível para quem gosta de estar bem informado!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O grupo de hackers patrocinado pelo Estado russo conhecido como
Turla
transformou seu backdoor Kazuar personalizado em uma botnet ponto a ponto (P2P) modular projetada para acesso furtivo e persistente a hosts comprometidos.
Turla, de acordo com a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), é avaliada como afiliada ao Centro 16 do Serviço Federal de Segurança da Rússia (FSB). Ele se sobrepõe à atividade rastreada pela comunidade mais ampla de segurança cibernética sob os nomes ATG26, Blue Python, Iron Hunter, Pensive Ursa, Secret Blizzard (anteriormente Krypton), Snake, SUMMIT, Uroburos, Venomous Bear, Waterbug e WRAITH.
O grupo de hackers é conhecido por seus ataques direcionados aos setores governamental, diplomático e de defesa na Europa e na Ásia Central, bem como
endpoints anteriormente violados pela Aqua Blizzard
(também conhecidos como Actinium e Gamaredon) para apoiar os objectivos estratégicos do Kremlin.
“Esta atualização está alinhada com o objetivo mais amplo da Secret Blizzard de obter acesso de longo prazo a sistemas para coleta de inteligência”, disse a equipe de Threat Intelligence da Microsoft.
disse
em um relatório publicado quinta-feira. “Embora muitos atores de ameaças dependam do uso crescente de ferramentas nativas (binários vivendo fora da terra (LOLBins)) para evitar a detecção, a progressão de Kazuar para um bot modular destaca como a Secret Blizzard está projetando resiliência e furtividade diretamente em suas ferramentas.”
Uma ferramenta fundamental no arsenal de Turla é
Kazuar
, um
backdoor .NET sofisticado
que tem sido usado de forma consistente desde 2017. As últimas descobertas da Microsoft traçam sua evolução de uma estrutura "monolítica" para um ecossistema de bot modular com três tipos de componentes distintos, cada um com suas próprias funções bem definidas. Essas mudanças permitem configuração flexível, reduzem o espaço observável e facilitam tarefas amplas.
Visão geral das interações dos módulos Kernel, Bridge e Worker
Descobriu-se que os ataques que distribuem o malware dependem de droppers como Pelmeni e ShadowLoader para descriptografar e iniciar os módulos. Os três tipos de módulos que formam a base da arquitetura do Kazuar estão listados abaixo -
Núcleo
, que atua como coordenador central da botnet, emitindo tarefas para módulos Worker, gerencia a comunicação com o módulo Bridge, mantém logs de ações e dados coletados, realiza verificações de anti-análise e sandbox e configura o ambiente por meio de uma configuração que especifica vários parâmetros relacionados à comunicação de comando e controle (C2), tempo de exfiltração de dados, gerenciamento de tarefas, varredura e coleta de arquivos e monitoramento.
Ponte
, que atua como um proxy entre o módulo líder do Kernel e o servidor C2.
Trabalhador
, que registra as teclas digitadas, captura eventos do Windows, rastreia tarefas e coleta informações do sistema, listagens de arquivos e interface de programação de aplicativos de mensagens (
MAPI
) detalhes.
O tipo de módulo Kernel expõe três mecanismos de comunicação interna (via Windows Messaging, Mailslot e pipes nomeados) e três métodos diferentes para entrar em contato com a infraestrutura controlada pelo invasor (via Exchange Web Services, HTTP e WebSockets). O componente também "elege" um único líder do Kernel para se comunicar com o módulo Bridge em nome dos outros módulos do Kernel.
Como o líder do Kernel coordena as tarefas do Worker e usa o Bridge
“As eleições ocorrem no Mailslot, e o líder é eleito com base na quantidade de trabalho (tempo que o módulo Kernel está em execução) dividido por interrupções (reinicializações, logoffs, processo encerrado)”, explicou a Microsoft. "Depois que um líder é eleito, ele se anuncia como líder e diz a todos os outros módulos do Kernel para definirem SILENCIOSO. Somente o líder eleito não é SILENCIOSO, o que permite ao módulo líder do Kernel registrar atividades e solicitar tarefas por meio do módulo Bridge."
Outra função do módulo é iniciar vários threads para configurar um canal de pipe nomeado entre os módulos do Kernel para comunicações entre Kernel, especificar um método de comunicação externo, bem como facilitar a comunicação Kernel-to-Worker e Kernel-to-Bridge através de mensagens do Windows ou Mailslot.
O objetivo final do Kernel é pesquisar novas tarefas do servidor C2, analisar mensagens recebidas, atribuir tarefas ao Worker, atualizar a configuração e enviar os resultados das tarefas de volta ao servidor. Além disso, o módulo incorpora um manipulador de tarefas que permite processar comandos emitidos pelo líder do Kernel.
Os dados coletados pelo módulo Worker são então agregados, criptografados e gravados no diretório de trabalho do malware, de onde são exfiltrados para o servidor C2.
“Kazuar usa um diretório de trabalho dedicado como uma área centralizada de teste em disco para apoiar suas operações internas entre módulos”, disse a Microsoft. "Este diretório é definido através da configuração e é consistentemente r
Turla
transformou seu backdoor Kazuar personalizado em uma botnet ponto a ponto (P2P) modular projetada para acesso furtivo e persistente a hosts comprometidos.
Turla, de acordo com a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), é avaliada como afiliada ao Centro 16 do Serviço Federal de Segurança da Rússia (FSB). Ele se sobrepõe à atividade rastreada pela comunidade mais ampla de segurança cibernética sob os nomes ATG26, Blue Python, Iron Hunter, Pensive Ursa, Secret Blizzard (anteriormente Krypton), Snake, SUMMIT, Uroburos, Venomous Bear, Waterbug e WRAITH.
O grupo de hackers é conhecido por seus ataques direcionados aos setores governamental, diplomático e de defesa na Europa e na Ásia Central, bem como
endpoints anteriormente violados pela Aqua Blizzard
(também conhecidos como Actinium e Gamaredon) para apoiar os objectivos estratégicos do Kremlin.
“Esta atualização está alinhada com o objetivo mais amplo da Secret Blizzard de obter acesso de longo prazo a sistemas para coleta de inteligência”, disse a equipe de Threat Intelligence da Microsoft.
disse
em um relatório publicado quinta-feira. “Embora muitos atores de ameaças dependam do uso crescente de ferramentas nativas (binários vivendo fora da terra (LOLBins)) para evitar a detecção, a progressão de Kazuar para um bot modular destaca como a Secret Blizzard está projetando resiliência e furtividade diretamente em suas ferramentas.”
Uma ferramenta fundamental no arsenal de Turla é
Kazuar
, um
backdoor .NET sofisticado
que tem sido usado de forma consistente desde 2017. As últimas descobertas da Microsoft traçam sua evolução de uma estrutura "monolítica" para um ecossistema de bot modular com três tipos de componentes distintos, cada um com suas próprias funções bem definidas. Essas mudanças permitem configuração flexível, reduzem o espaço observável e facilitam tarefas amplas.
Visão geral das interações dos módulos Kernel, Bridge e Worker
Descobriu-se que os ataques que distribuem o malware dependem de droppers como Pelmeni e ShadowLoader para descriptografar e iniciar os módulos. Os três tipos de módulos que formam a base da arquitetura do Kazuar estão listados abaixo -
Núcleo
, que atua como coordenador central da botnet, emitindo tarefas para módulos Worker, gerencia a comunicação com o módulo Bridge, mantém logs de ações e dados coletados, realiza verificações de anti-análise e sandbox e configura o ambiente por meio de uma configuração que especifica vários parâmetros relacionados à comunicação de comando e controle (C2), tempo de exfiltração de dados, gerenciamento de tarefas, varredura e coleta de arquivos e monitoramento.
Ponte
, que atua como um proxy entre o módulo líder do Kernel e o servidor C2.
Trabalhador
, que registra as teclas digitadas, captura eventos do Windows, rastreia tarefas e coleta informações do sistema, listagens de arquivos e interface de programação de aplicativos de mensagens (
MAPI
) detalhes.
O tipo de módulo Kernel expõe três mecanismos de comunicação interna (via Windows Messaging, Mailslot e pipes nomeados) e três métodos diferentes para entrar em contato com a infraestrutura controlada pelo invasor (via Exchange Web Services, HTTP e WebSockets). O componente também "elege" um único líder do Kernel para se comunicar com o módulo Bridge em nome dos outros módulos do Kernel.
Como o líder do Kernel coordena as tarefas do Worker e usa o Bridge
“As eleições ocorrem no Mailslot, e o líder é eleito com base na quantidade de trabalho (tempo que o módulo Kernel está em execução) dividido por interrupções (reinicializações, logoffs, processo encerrado)”, explicou a Microsoft. "Depois que um líder é eleito, ele se anuncia como líder e diz a todos os outros módulos do Kernel para definirem SILENCIOSO. Somente o líder eleito não é SILENCIOSO, o que permite ao módulo líder do Kernel registrar atividades e solicitar tarefas por meio do módulo Bridge."
Outra função do módulo é iniciar vários threads para configurar um canal de pipe nomeado entre os módulos do Kernel para comunicações entre Kernel, especificar um método de comunicação externo, bem como facilitar a comunicação Kernel-to-Worker e Kernel-to-Bridge através de mensagens do Windows ou Mailslot.
O objetivo final do Kernel é pesquisar novas tarefas do servidor C2, analisar mensagens recebidas, atribuir tarefas ao Worker, atualizar a configuração e enviar os resultados das tarefas de volta ao servidor. Além disso, o módulo incorpora um manipulador de tarefas que permite processar comandos emitidos pelo líder do Kernel.
Os dados coletados pelo módulo Worker são então agregados, criptografados e gravados no diretório de trabalho do malware, de onde são exfiltrados para o servidor C2.
“Kazuar usa um diretório de trabalho dedicado como uma área centralizada de teste em disco para apoiar suas operações internas entre módulos”, disse a Microsoft. "Este diretório é definido através da configuração e é consistentemente r
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #turla #transforma #backdoor #kazuar #em #botnet #p2p #modular #para #acesso #persistente
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário