Turla met à jour sa porte dérobée Kazuar avec un système d’anti-analyse avancé

Les nouvelles découvertes proviennent de l’unité 42 de Palo Alto Networks, qui traque l’adversaire sous le nom de Pensive Ursa, sur le thème de la constellation.

« Comme le révèle le code de la version améliorée de Kazuar, les auteurs ont mis l’accent sur la capacité de Kazuar à opérer en toute discrétion, à échapper à la détection et à contrecarrer les efforts d’analyse », ont déclaré les chercheurs en sécurité Daniel Frank et Tom Fakterman dans un rapport technique.

« Ils y parviennent en utilisant une variété de techniques anti-analyse avancées et en protégeant le code du logiciel malveillant par des pratiques efficaces de cryptage et d’obscurcissement.

Pensive Ursa, actif depuis au moins 2004, est attribué au Service fédéral de sécurité russe (FSB). Au début du mois de juillet, le Computer Emergency Response Team of Ukraine (CERT-UA) a impliqué le groupe de menace dans des attaques visant le secteur de la défense en Ukraine et en Europe de l’Est avec des portes dérobées telles que DeliveryCheck et Kazuar.

Kazuar est un implant basé sur .NET qui a été découvert en 2017 pour sa capacité à interagir furtivement avec des hôtes compromis et à exfiltrer des données. En janvier 2021, Kaspersky a mis en évidence des chevauchements de code source entre la souche du logiciel malveillant et Sunburst, une autre porte dérobée utilisée en conjonction avec le piratage SolarWinds de 2020.

Les améliorations apportées à Kazuar indiquent que l’acteur de la menace à l’origine de l’opération continue de faire évoluer ses méthodes d’attaque et de gagner en sophistication, tout en élargissant sa capacité à contrôler les systèmes des victimes. Il utilise notamment de solides méthodes d’obscurcissement et de chiffrement de chaînes personnalisées pour échapper à la détection.

« Kazuar fonctionne selon un modèle multithreading, chacune de ses principales fonctionnalités fonctionnant comme son propre thread », expliquent les chercheurs. « En d’autres termes, un thread gère la réception des commandes ou des tâches de son [commande et contrôle], tandis qu’un thread de résolution gère l’exécution de ces commandes. Ce modèle multithreading permet aux auteurs de Kazuar d’établir un contrôle de flux asynchrone et modulaire ». Le logiciel malveillant prend en charge un large éventail de fonctionnalités – passant de 26 commandes en 2017 à 45 dans la dernière variante – qui facilitent le profilage complet du système, la collecte de données, le vol d’informations d’identification, la manipulation de fichiers et l’exécution de commandes arbitraires. Il intègre également des capacités permettant de configurer des tâches automatisées qui s’exécuteront à des intervalles spécifiés pour recueillir des données système, prendre des captures d’écran et saisir des fichiers dans des dossiers particuliers. La communication avec les serveurs C2 se fait par HTTP. « En plus de la communication HTTP directe avec le serveur C2 », disent les chercheurs, « Kazuar a la capacité de fonctionner comme proxy pour recevoir et envoyer des commandes à d’autres agents Kazaur infectés par le réseau ». De plus, les fonctionnalités anti-analyse étendues confèrent à Kazaur un haut degré de furtivité, ce qui lui permet de rester inactif et de cesser toute communication avec le serveur C2 s’il est en train d’être débogué ou analysé. Ce développement intervient alors que Kaspersky a révélé qu’un certain nombre d’organisations industrielles étatiques russes ciblées par une porte dérobée personnalisée basée sur Go effectuent un vol de données dans le cadre d’une campagne de spear phishing commencée en juin 2023 L’acteur de la menace derrière l’opération est actuellement inconnu.