Группа кибершпионажа Turla обновила свой известный бэкдор Kazuar, превратив его в модульный ботнет с пиринговой архитектурой. Эта эволюция устраняет зависимость от центральных серверов управления, позволяя зараженным системам общаться друг с другом децентрализованно. Изменение затрудняет обнаружение и удаление вредоносного ПО, придавая ему заметную устойчивость в средах с высокими требованиями безопасности.
Сменные модули и боковое перемещение без центрального сервера 🛡️
Новая версия Kazuar включает модульную конструкцию, позволяющую заменять компоненты на лету. Каждый модуль расширяет определенные возможности, такие как сбор учетных данных, кража документов или боковое перемещение внутри скомпрометированной сети. Работая без единой точки отказа, ботнет становится более сложным для нейтрализации. Исследователи отмечают, что эта P2P-архитектура представляет собой значительный тактический скачок для поддержания постоянного доступа в критически важных инфраструктурах.
Turla переезжает по-соседски: теперь каждый ПК сам себе хозяин 😈
Похоже, Turla решила взять на заметку принципы социальных сетей и применить их к вредоносному ПО. Если раньше Kazuar нуждался в центральном сервере для получения команд, то теперь каждый зараженный ПК сам себе хозяин, как подросток с досрочным наследством. Децентрализация звучит очень современно, но для администраторов безопасности это означает необходимость охотиться не за одним лидером, а за множеством автономных агентов, которые обмениваются файлами, словно наклейками.