Secret Blizzard’dan Yeni Kazuar Varyantı: Modüler Casusluk Botnet’i Ortaya Çıktı
Rusya bağlantılı Secret Blizzard grubunun, yıllardır kullanılan Kazuar arka kapısını üç katmanlı modüler bir botnet mimarisine dönüştürdüğü ve uzun süreli siber casusluk faaliyetlerini daha gizli hale getirdiği bildirildi.
Secret Blizzard tarafından kullanılan Kazuar zararlı yazılımının yeni bir mimariye evrildiği tespit edildi. Microsoft araştırmacılarına göre yazılım artık modüler, eşler arası çalışan ve uzun süreli casusluk operasyonları için tasarlanmış bir botnet yapısına sahip.
Turla ile Bağlantılı Uzun Soluklu Tehdit
Secret Blizzard faaliyetlerinin daha önce Turla, Uroburos ve Venomous Bear gibi tehdit aktörleriyle örtüştüğü ve Rus istihbarat servisi FSB ile ilişkilendirildiği değerlendiriliyor.
Kazuar’ın 2017’den bu yana aktif olduğu, kod izlerinin ise 2005’e kadar uzandığı belirtiliyor.
Üç Katmanlı Yeni Mimari: Kernel – Bridge – Worker
Kazuar artık üç ana modül üzerinden çalışıyor:
Kernel:
Botnet’in merkezi koordinatörü olarak görev yapıyor. Lider sistem seçimi, görev dağıtımı ve iletişim akışını yönetiyor.
Bridge:
Dış komuta kontrol (C2) altyapısıyla iletişimi sağlıyor. HTTP, WebSockets ve Exchange protokollerini kullanarak trafik gizleniyor.
Worker:
Asıl casusluk faaliyetlerini yürütüyor; tuş kaydı, ekran görüntüsü alma, dosya hırsızlığı ve Outlook verilerini toplama gibi işlemleri gerçekleştiriyor.
Lider Sistem Üzerinden Gizli C2 İletişimi
Yeni yapıda enfekte cihazlardan biri “lider” olarak seçiliyor ve doğrudan komuta kontrol sunucusuyla iletişim kuruyor. Diğer sistemler sessiz moda geçerek sadece lider üzerinden veri aktarımı yapıyor.
Microsoft bu yapının ağ trafiğini azaltarak tespit edilmesini zorlaştırdığını belirtiyor.
150 Yapılandırma Seçeneği ile Gelişmiş Kontrol
Kazuar’ın yeni sürümünde 150 farklı yapılandırma parametresi bulunduğu açıklandı. Bu seçenekler:
- veri hırsızlığı zamanlaması
- süreç enjeksiyonu
- güvenlik atlatma teknikleri
- görev planlama
- veri boyutu kontrolü
gibi birçok saldırı bileşenini kontrol edebiliyor.
Sessiz ve Uzun Süreli Casusluk Hedefi
Secret Blizzard’ın özellikle hükümet kurumları, diplomatik yapılar ve savunma sanayi hedeflerine odaklandığı belirtiliyor.
Microsoft, kurumlara imza tabanlı tespit yerine davranışsal analiz sistemlerine ağırlık verilmesi gerektiği uyarısında bulundu.
Yeni Kazuar mimarisi, daha az görünürlük, daha uzun süreli kalıcılık ve daha esnek casusluk yetenekleriyle modern APT operasyonlarının geldiği noktayı gösteriyor.
Kaynak: Beykozun Sesi
Tepkiniz Nedir?
Beğenmek
0
Beğenmemek
0
Aşk
0
Eğlenceli
0
Sinirli
0
Üzgün
0
Vay
0
