**Secret Blizzard**, bekannt für Überschneidungen mit Gruppen wie **Turla**, **Uroburos** und **Venomous Bear**, wird mit dem russischen Geheimdienst (FSB) in Verbindung gebracht. Die Gruppe ist berüchtigt für Angriffe auf Regierungs- und diplomatische Einrichtungen, Rüstungsunternehmen und kritische Infrastrukturen in Europa, Asien und der Ukraine. **Kazuar** ist seit 2017 dokumentiert, wobei die Code-Abstammung bis ins Jahr 2005 zurückreicht. Seine Aktivitäten wurden mit der **Turla**-Spionagegruppe in Verbindung gebracht, die ebenfalls im Verdacht steht, für den FSB zu arbeiten. Die Malware wurde zuvor bei Angriffen auf europäische Regierungsbehörden im Jahr 2020 und auf die Ukraine im Jahr 2023 beobachtet. ### Kazuar's neue Architektur Forscher von **Microsoft** haben eine aktuelle Variante von **Kazuar** analysiert und ein modulares Design mit drei verschiedenen Komponenten aufgedeckt: Kernel, Bridge und Worker. * **Kernel-Modul**: Dient als zentraler Koordinator, verwaltet Aufgaben, steuert andere Module, wählt einen Leader-Knoten und orchestriert die Kommunikation und den Datenfluss innerhalb des Botnetzes. * **Bridge-Modul**: Fungiert als externer Kommunikationsproxy und leitet den Datenverkehr zwischen dem gewählten Kernel-Leader und der entfernten Command-and-Control (C2) Infrastruktur weiter. Dieses Modul unterstützt Protokolle wie HTTP, WebSockets und Exchange Web Services (EWS). * **Worker-Modul**: Führt die eigentlichen Spionageoperationen durch, einschließlich Keylogging, Screenshot-Erfassung, Datenerfassung aus dem Dateisystem, System- und Netzwerkerkennung, Sammlung von E-Mail/MAPI-Daten (einschließlich **Outlook**-Downloads), Fensterüberwachung und Exfiltration kürzlich erstellter Dateien. Der Prozess der Leader-Wahl ist intern und autonom und basiert auf Metriken wie Uptime, Neustarthäufigkeit und Unterbrechungszählungen. Nicht-Leader-Systeme arbeiten im "Silent"-Modus und vermeiden die direkte Kommunikation mit dem C2-Server, um die Tarnung zu verbessern und die Angriffsfläche zu reduzieren. "Der Kernel-Leader ist das gewählte Kernel-Modul, das im Auftrag der anderen Kernel-Module mit dem Bridge-Modul kommuniziert, wodurch die Sichtbarkeit durch die Vermeidung großer Mengen externen Datenverkehrs von mehreren infizierten Hosts reduziert wird", erklärt **Microsoft**.  *Diagramm der internen Kommunikation von Kazuar (Quelle: Microsoft)* Die interne Kommunikation stützt sich auf IPC (Inter-Process Communication)-Mechanismen, einschließlich Windows Messaging, Mailslots und Named Pipes, und fügt sich nahtlos in die normale Systemaktivität ein. Nachrichten werden AES-verschlüsselt und mit Google Protocol Buffers (Protobuf) serialisiert.  *Arten von Systeminformationen, die Kazuar sammelt (Quelle: Microsoft)* **Microsoft** betont die Flexibilität von **Kazuar** und stellt fest, dass es jetzt über 150 Konfigurationsoptionen unterstützt. Diese Optionen ermöglichen es den Betreibern, spezifische Sicherheitsumgehungen zu aktivieren/deaktivieren, Aufgaben zu planen, den Zeitpunkt des Datendiebstahls und die Exfiltrations-Chunk-Größen zu steuern, Prozessinjektionen durchzuführen und die Ausführung von Aufgaben und Befehlen zu verwalten. Zu den Fähigkeiten zur Umgehung von Sicherheitsmaßnahmen gehören jetzt die Umgehung der Antimalware Scan Interface (**AMSI**), die Umgehung von Event Tracing for Windows (**ETW**) und die Umgehung von Windows Lockdown Policy (**WLDP**). ### Abhilfestrategien **Secret Blizzard** zielt typischerweise auf eine langfristige Persistenz auf kompromittierten Systemen ab, um die fortlaufende Geheimdiensterfassung zu ermöglichen, wobei der Schwerpunkt auf Dokumenten und E-Mail-Inhalten von politischer Bedeutung liegt. **Microsoft** rät Organisationen, angesichts der modularen Architektur und der hochgradig konfigurierbaren Natur von **Kazuar**, die es außerordentlich schwer fassbar macht, Verhaltenserkennungsmethoden gegenüber statischen Signaturen zu priorisieren.