Turla baut Kazuar-Backdoor zu modularem Peer-to-Peer-Botnet um

Zusammenfassung

Die russische staatlich gesteuerte Hackergruppe Turla hat ihre selbst entwickelte Backdoor Kazuar in ein modulares Peer-to-Peer-Botnet umgebaut, das auf verdeckten und dauerhaften Zugriff auf kompromittierte Systeme ausgelegt ist. Das geht aus einem Bericht des Microsoft Threat Intelligence Teams hervor, der an einem Donnerstag veröffentlicht wurde. Nach Einschätzung der US-Behörde CISA wird Turla dem Center 16 des russischen Inlandsgeheimdienstes FSB zugerechnet. Die Gruppe wird in der Sicherheitsforschung unter zahlreichen weiteren Namen geführt, darunter Secret Blizzard (früher Krypton), Snake, Uroburos, Venomous Bear, Waterbug und Pensive Ursa. Bekannt ist Turla für Angriffe auf Regierungs-, Diplomatie- und Verteidigungseinrichtungen in Europa und Zentralasien sowie für die Nutzung von Endpunkten, die zuvor von der Gruppe Aqua Blizzard (auch Actinium oder Gamaredon) kompromittiert wurden, um die strategischen Ziele des Kreml zu unterstützen. Microsoft sieht in dem Umbau eine Fortsetzung des übergeordneten Ziels der Gruppe: langfristigen Zugang zu Systemen für die Sammlung von Informationen. Während viele Angreifer zunehmend auf bordeigene Werkzeuge setzten, um einer Entdeckung zu entgehen, zeige die Entwicklung von Kazuar hin zu einem modularen Bot, wie die Gruppe Widerstandsfähigkeit und Tarnung direkt in ihre Werkzeuge einbaue.

Kazuar ist eine ausgefeilte .NET-Backdoor, die Turla seit 2017 durchgängig einsetzt. Die jüngsten Erkenntnisse von Microsoft zeichnen die Entwicklung von einem „monolithischen" Rahmenwerk hin zu einem modularen Bot-Ökosystem nach, das aus drei verschiedenen Komponententypen mit jeweils klar abgegrenzten Aufgaben besteht. Diese Bauweise erlaubt eine flexible Konfiguration, verringert die beobachtbaren Spuren und ermöglicht eine breit gefächerte Auftragsvergabe.

Zur Verteilung der Schadsoftware kommen laut Microsoft Dropper wie Pelmeni und ShadowLoader zum Einsatz, die die Module entschlüsseln und starten.

Das Kernel-Modul stellt drei interne Kommunikationswege bereit – über Windows Messaging, Mailslot und benannte Pipes – sowie drei Methoden, um die von den Angreifern kontrollierte Infrastruktur zu kontaktieren: über Exchange Web Services, HTTP und WebSockets. Zudem „wählt" diese Komponente einen einzelnen Kernel-Anführer, der stellvertretend für die übrigen Kernel-Module mit dem Bridge-Modul kommuniziert.

Die Wahl läuft laut Microsoft über Mailslot ab. Der Anführer wird anhand der geleisteten Arbeit bestimmt – also der Laufzeit des Kernel-Moduls – geteilt durch die Zahl der Unterbrechungen wie Neustarts, Abmeldungen oder beendete Prozesse. Sobald ein Anführer feststeht, kündigt er sich als solcher an und weist alle anderen Kernel-Module an, in den Zustand SILENT zu wechseln. Nur der gewählte Anführer bleibt aktiv und darf Aktivitäten protokollieren und über das Bridge-Modul Aufträge anfordern.

Darüber hinaus startet das Modul mehrere Threads, um einen benannten Pipe-Kanal für die Kommunikation zwischen den Kernel-Modulen einzurichten, eine externe Kommunikationsmethode festzulegen und den Austausch zwischen Kernel und Worker sowie zwischen Kernel und Bridge über Windows Messaging oder Mailslot zu ermöglichen.

Das eigentliche Ziel des Kernels ist es, neue Aufträge vom C2-Server abzurufen, eingehende Nachrichten auszuwerten, Aufgaben an den Worker zu verteilen, die Konfiguration zu aktualisieren und die Ergebnisse an den Server zurückzusenden. Die vom Worker-Modul gesammelten Daten werden anschließend zusammengeführt, verschlüsselt und in das Arbeitsverzeichnis der Schadsoftware geschrieben, von wo aus sie zum C2-Server abfließen.

Dieses Arbeitsverzeichnis dient laut Microsoft als zentrale Ablage auf der Festplatte, über die Kazuar seine internen Abläufe modulübergreifend organisiert. Es wird über die Konfiguration festgelegt und stets über vollständige Pfade angesprochen, um Mehrdeutigkeiten zu vermeiden. Innerhalb des Verzeichnisses ordnet Kazuar die Daten nach Funktion und trennt Auftragsdaten, gesammelte Ausgaben, Protokolle und Konfigurationsmaterial an getrennten Orten. So lässt sich die Ausführung von Aufträgen von Speicherung und Abfluss entkoppeln, der Betriebszustand über Neustarts hinweg erhalten und die asynchrone Arbeit zwischen den Modulen koordinieren, während der direkte Kontakt mit externer Infrastruktur möglichst gering gehalten wird.

Turla baut Kazuar-Backdoor zu modularem Peer-to-Peer-Botnet um

Ähnliche Artikel

Neueste Artikel