مجموعة Turla كتحول الباب الخلفي (backdoor) Kazuar لشبكة Botnet من نوع P2P باش تضمن وصول دائم

خلاصة — مجموعة Turla، وهي فاعل تهديد مدعوم من الدولة الروسية واللي وكالة CISA كتقول بلي تابعة للمركز 16 ديال FSB، طورات الباب الخلفي (backdoor) ديالها Kazuar المكتوب بـ .NET من نظام مونوليثي (monolithic) لشبكة botnet من نوع peer-to-peer مقسمة لموديلات. هاد التصميم الجديد جاب ثلاثة ديال المكونات—Kernel و Bridge و Worker—اللي كينسقو بيناتهم عبر قنوات اتصال متعددة باش يضمنو التخفي والصلابة والوصول على المدى الطويل. ما كاينة حتى CVE مخصصة لهادشي؛ خاص المدافعين يراقبو لي droppers بحال Pelmeni و ShadowLoader، اللي كيفرقو الموديلات ديال Kazuar.

شنو واقع

فريق Microsoft Threat Intelligence نشر اكتشافات على التطور في الهيكلة ديال Kazuar، اللي هو باب خلفي (backdoor) متطور بـ .NET كتستعملو مجموعة Turla من 2017. هاد البرمجية الخبيثة تعاود التصميم ديالها من كود واحد مجموع لشبكة botnet موزعة ومقسمة لموديلات فيها ثلاثة ديال الأنواع د المكونات.

الموديل ديال Kernel كيلعب الدور ديال المنسق المركزي. كيعطي مهام للموديلات ديال Worker، كيسير التواصل مع الموديل Bridge، كيحتفظ بالسجلات (logs) ديال العمليات والبيانات اللي تجمعات، كيدير تقنيات anti-analysis وكيكتشف إلا كان فـ sandbox، وكيريكل الإعدادات اللي كتحكم فالتواصل مع سيرفرات command-and-control، وتوقيت تسريب البيانات، وتسيير المهام، وسكان وجمع الملفات، والمراقبة. الموديل Kernel كيوفر ثلاثة د الطرق للتواصل الداخلي — Windows Messaging، Mailslot، و named pipes — وثلاثة د الطرق باش يتواصل مع البنية التحتية ديال المهاجم: Exchange Web Services، HTTP، و WebSockets.

الهيكلة فيها واحد الآلية ديال الانتخاب باش يتم تعيين Kernel واحد كقائد (leader). هاد الانتخابات كتدار عبر Mailslot بناءً على مدة التشغيل (uptime) مقسومة على الانقطاعات (reboots, logoffs, process terminations). بمجرد ما كيتم انتخاب القائد، كيعلن على راسو وكيوجه الموديلات ديال Kernel لخرين لحالة صامتة (SILENT state). غير القائد المنتخب اللي كيسجل النشاط (logs activity) وكيطلب المهام عن طريق الموديل Bridge.

الموديل ديال Bridge كيلعب الدور ديال proxy بين الـ Kernel القائد وسيرفر الـ C2.

الموديل ديال Worker كيجمع الـ keystrokes، كيدير hooking للأحداث ديال Windows، كيتبع المهام، كيجمع معلومات على النظام، ليستة ديال الملفات، وتفاصيل ديال Messaging Application Programming Interface (MAPI). هاد البيانات اللي كيجمعوها الـ Workers كتتجمع، كتشفّر، وكتتكتب فواحد المجلد (directory) مخصص للعمل قبل ما تتسرّب لسيرفر الـ C2. الموديل ديال Kazuar كينظم هاد المجلد على حساب الوظيفة، وكيعزل المهام، ومخرجات الجمع، الـ logs، والـ configuration فبلايص مفروقة. هاد التصميم كيخلي البرمجية الخبيثة تفصل تنفيذ المهام على تخزين البيانات وتحافظ على الحالة التشغيلية عبر الـ restarts.

الهجمات اللي كتوزع النسخة الجديدة ديال Kazuar كتعتمد على droppers بحال Pelmeni و ShadowLoader باش تفك التشفير وتطلق هاد الموديلات.

علاش هادشي مهم

هاد التقسيم لموديلات كينقص بزاف من الآثار المكتشفة ديال Kazuar فـ disk والشبكة. من خلال توزيع الوظائف على مكونات Kernel و Bridge و Worker، مجموعة Turla تقدر تطلق غير الموديلات الضرورية لشي هدف معين أو لمرحلة معينة فالهجوم، وهادشي كيقلل داكشي اللي يقدرو المدافعين يكتشفوه. هيكلة الـ P2P وقنوات الاتصال المتعددة (Windows Messaging، Mailslot، و named pipes للتنسيق الداخلي؛ و EWS، HTTP، و WebSockets للـ C2) كتخلق تكرار (redundancy)، وهادشي كيصعب على المدافعين يقطعو التحكم ديال المهاجم.

هاد التصميم كيعكس تحول استراتيجي: عوض ما يعتمدو غير على living-off-the-land binaries (LOLBins) باش يتفاداو يتفضحو، Turla ولات كتدمج الصلابة والتخفي نيشان فالأدوات ديالها. هادشي كيشير باللي هاد المجموعة ناوية على وصول طويل الأمد باش تجمع المعلومات الاستخباراتية ضد أهداف حكومية، ديبلوماسية، ودفاعية فأوروبا وآسيا الوسطى.

بالنسبة لمحللي الـ SOC، الهيكلة ديال الموديلات كتعني باللي جهاز واحد مخترق (compromised host) يقدر ما يبينش الحجم الكامل ديال التواجد د Kazuar. الموديلات ديال Worker يقدرو يسربو البيانات لمجلد العمل، فاش كيكونو الموديلات ديال Kernel كينسقو بسكات. المدافعين خاصهم يراقبو المرحلة الأولى ديال الـ droppers (بحال Pelmeni و ShadowLoader) والبصمات السلوكية (behavioral signatures) ديال التواصل بين الموديلات عبر named pipes و Mailslot.

الأنظمة المتضررة والـ CVEs

• Kazuar (باب خلفي (backdoor) بـ .NET، مستعمل من 2017)
• Pelmeni (dropper)
• ShadowLoader (dropper)
• Windows (نظام التشغيل المستهدف)
• Exchange Web Services (قناة من قنوات C2)

ما تحددات حتى CVE وقيتة النشر ديال المقال.

شنو المعمول

المقال الأصلي ما كيعطيش تعليمات ديال ترقيع (patch) أو علاج. الإجراءات الوقائية خاصها تركز على الاكتشاف والاحتواء (containment):

• راقبو الـ droppers ديال Pelmeni و ShadowLoader فالبيئة ديالكم.
• قلبو على تواصلات مشبوهة بين العمليات (inter-process communication) عبر Windows Messaging و Mailslot و named pipes، وخصوصا الأنماط اللي كتوافق مع انتخابات القائد (حركة المرور فـ Mailslot اللي كتدل على metrics ديال مدة التشغيل والانقطاعات).
• فحصو مجلدات العمل (working directories) على تجميع مركزي ديال البيانات اللي كيوافق التصميم ديال Kazuar.
• راقبو التواصل مع سيرفرات الـ C2 عبر Exchange Web Services و HTTP و WebSockets لبنيات تحتية معروفة ولا مشكوك فيها تابعة لـ Turla.
• عزلو الأجهزة (hosts) اللي كيبان فيها نشاط ديال الموديلات Kernel أو Bridge أو Worker باش تمنعو التحرك الجانبي (lateral movement) وتسريب البيانات.
• راجعو الـ logs من الأجهزة اللي تم اختراقها من قبل بواسطة Aqua Blizzard (Actinium, Gamaredon)، حيت مجموعة Turla معروفة بلي كتعاود تصيب الأجهزة اللي تنقات من تهديدات أخرى.

أسئلة باقة مطروحة

• ما كاينينش معرفات CVE لـ Kazuar أو النسخ ديالو.
• المصدر ما كيتكلمش على المنظمات أو البلدان اللي كانت مستهدفة بهاد النسخة الجديدة بالضبط.
• ما مضمنينش مؤشرات الاختراق (IoCs) ولا التوقيعات ديال الاكتشاف (detection signatures).
• الإطار الزمني ديال إيمتا وقع التحول للموديلات ما محددش.
• ما كاينينش إحصائيات معينة على حجم أو نطاق الهجمات اللي ستخدمات النسخة الموديلير ديال Kazuar.
• الآليات ديال الاكتشاف المخصصة لهاد الهيكلة الجديدة ما تذكراتش.

المصدر

Turla Turns Kazuar Backdoor Into Modular P2P Botnet for Persistent Access