De acordo com pt.wedoany.com-A equipa de inteligência de ameaças da Microsoft publicou a 15 de maio um relatório de análise aprofundada, revelando que o grupo russo de hackers de Estado-nação Turla reconstruiu completamente o seu icónico backdoor .NET Kazuar numa botnet ponto-a-ponto altamente modular. De acordo com uma avaliação anterior da Agência de Segurança de Infraestrutura e Cibersegurança dos EUA, o Turla está subordinado ao 16.º Centro do Serviço Federal de Segurança da Rússia, e a sua atividade é continuamente rastreada pela comunidade de cibersegurança sob vários codinomes, incluindo Secret Blizzard (anteriormente Krypton), ATG26, Waterbug, Uroburos, entre outros. Esta atualização da arquitetura marca a transição do grupo de um modelo tradicional dependente de um único canal de comunicação do backdoor para a construção de uma rede oculta em camadas com divisão interna de funções, canais redundantes e capacidades anti-análise.

O relatório da Microsoft indica que o Kazuar evoluiu continuamente ao longo da última década, e a versão mais recente abandonou completamente a arquitetura monolítica usada durante anos, adotando uma rede P2P colaborativa de três módulos — Kernel (Núcleo), Bridge (Ponte) e Worker (Nó de Trabalho) — cada um com funções distintas. O módulo Kernel é a unidade central de decisão do sistema, responsável por atribuir tarefas ao Worker, gerir registos, executar verificações anti-sandbox e anti-análise, e definir parâmetros como o protocolo de comunicação C2, o momento da exfiltração de dados e o âmbito da verificação de ficheiros através de ficheiros de configuração. Este módulo utiliza três mecanismos para comunicação de rede interna: Windows Messaging, Mailslot e Named Pipes, e estabelece ligações com C2 externos através de três métodos: Exchange Web Services, HTTP e WebSockets.

Na arquitetura geral, o Kernel também assume uma função crítica — o mecanismo de eleição. A Microsoft descreve no relatório que todas as instâncias do Kernel elegem automaticamente um "Líder" com base no tempo de execução e em indicadores de desempenho. Apenas este Líder tem permissão para comunicar diretamente com o módulo Bridge, enquanto os restantes Kernels permanecem em silêncio. Este design reduz drasticamente o tráfego anómalo gerado pela botnet na rede infetada, tornando mais difícil para os métodos de deteção tradicionais baseados em padrões de tráfego localizar toda a rede. O módulo Bridge atua como uma camada de proxy, responsável por retransmitir todas as comunicações entre o Kernel Líder e o servidor C2, garantindo que os restantes nós internos nunca são expostos à rede externa, isolando ainda mais o caminho de atribuição. O módulo Worker realiza tarefas operacionais específicas no terminal, incluindo keylogging, enganchamento de eventos do Windows, recolha de informações do sistema, extração de dados de clientes de email MAPI e enumeração de diretórios de ficheiros, atuando simultaneamente como um tentáculo que agrega as informações roubadas num diretório de trabalho designado. Todos os módulos são entregues e carregados em memória por um descarregador universal, sendo necessária a implementação de todos os três componentes no mesmo anfitrião para formar uma unidade funcional mínima da botnet.

Os mecanismos de roubo de dados e persistência são também pontos centrais desta atualização. O relatório da Microsoft revela que os vários dados recolhidos pelo módulo Worker nos terminais são encriptados e armazenados numa área de armazenamento temporário designada no disco, que serve como um conjunto unificado de buffer de dados mantido pelo Kazuar no anfitrião infetado. Na prática, apenas o Kernel Líder eleito tem permissão para extrair dados da área de armazenamento temporário e orquestrar o plano de exfiltração; os restantes nós apenas executam a recolha, sem realizar o envio externo, concentrando assim o tráfego anómalo num único ponto de saída. O Kazuar também possui um mecanismo configurável de ciclo de exfiltração, capaz de enviar dados em lote de acordo com janelas de tempo predefinidas, em vez de em tempo real. A Microsoft descreve isto como uma lógica de agendamento de "trocar tempo por segurança", dissociando completamente a recolha e a exfiltração de dados no ciclo da missão. O atacante pode ajustar flexivelmente o ritmo de envio de dados com base na postura de defesa do ambiente alvo, reduzindo significativamente a probabilidade de ser detetado por análise comportamental e deteção de tráfego anómalo. A área de armazenamento temporário também suporta a funcionalidade de retoma de tarefas a partir de pontos de interrupção; mesmo após reinicializações do sistema ou longos períodos offline, os registos de tarefas e os dados já recolhidos podem ser recuperados e a execução pode continuar.

A entrega da carga útil do ataque também demonstra uma estratégia de ocultação em múltiplas camadas. As primeiras variantes do Kazuar dependiam de cargas binárias personalizadas, enquanto a cadeia de ataque atual evoluiu para utilizar uma combinação de scripts VBScript, carregadores a nível de sistema e sequestro de componentes COM. O carregador Kazuar v3 divulgado pela Microsoft contorna especificamente, sem necessidade de patches, as interfaces de Rastreamento de Eventos do Windows e de verificação anti-malware. A cadeia de ataque injeta lógica maliciosa dentro de processos confiáveis através do sequestro do subsistema COM, sem realizar alterações substanciais nos ficheiros do sistema durante todo o processo. Nas rotas de entrega, o Turla utilizou repetidamente os resultados de intrusão inicial de outro grupo russo de APT, o Gamaredon, para acesso secundário. Após o Gamaredon obter pontos de entrada iniciais através de ataques ruidosos e de amplo alcance, o Turla realiza uma filtragem precisa dos alvos de alto valor e implementa o Kazuar, formando uma cadeia de colaboração de ataque projetada de "contaminação em larga escala — recolha precisa" entre as duas equipas.

A atividade de ataque do Turla remonta pelo menos a 2008, e o Kazuar, desde o seu primeiro aparecimento em 2017, tem sido a ferramenta central do grupo em missões de infiltração de médio e longo prazo. A Microsoft afirma claramente no relatório que os principais alvos de ataque do Turla se concentram nos setores governamental, diplomático e de defesa da Europa, Ásia Central e Ucrânia, servindo as suas operações a missão de recolha de informações estratégicas do Serviço Federal de Segurança da Rússia. É notável que declarações públicas conjuntas anteriores do Centro Nacional de Cibersegurança do Reino Unido e da Agência de Segurança Nacional dos EUA também confirmaram que o Turla invadiu a infraestrutura do grupo iraniano APT34, utilizando o seu sistema C2 para realizar infiltrações por "sequestro" contra alvos de ataque iranianos. Esta operação é extremamente rara no domínio das APT, utilizando ferramentas de espionagem de terceiros como trampolim para desviar as pistas de atribuição para atores de ameaça de outros países, demonstrando uma maturidade excecional do Turla no design de segurança operacional e na camuflagem geopolítica.

O boletim de segurança publicado no mesmo dia pela Symantec integrou as regras de assinatura do Kazuar nas capacidades de deteção de toda a sua linha de produtos, formando uma interceção em múltiplas camadas através de uma combinação híbrida de análise comportamental por machine learning, verificação de reputação e assinaturas tradicionais. O aconselhamento de segurança operacional emitido pela IBM X-Force sugere que os defensores transcendam a perspetiva de deteção baseada em amostras únicas e se concentrem em anomalias comportamentais como comunicação de eleição, encaminhamento de mensagens internas e armazenamento temporário periódico de dados, investigando a presença de tráfego de mensagens de rede interna entre Kernels. A Microsoft divulgou simultaneamente os hashes do carregador Kazuar e dos três módulos para correspondência de IoC pelas equipas de segurança. O relatório da Microsoft conclui que a transformação do Kazuar numa rede P2P modular não é uma iteração técnica isolada, mas sim uma demonstração concentrada da capacidade de ocultação projetada do Turla — o grupo já não depende de meios passivos de ocultação oportunistas, mas incorpora resiliência, redundância e capacidade de permanência a longo prazo diretamente na arquitetura base da sua ferramenta de ataque.

Este texto foi elaborado por Wedoany. Qualquer citação por IA deve indicar a fonte “Wedoany”. Em caso de infração ou outros problemas, informe-nos prontamente, por favor. O conteúdo será corrigido ou removido. E-mail: news@wedoany.com