ロシア国家支援のハッカー集団である**Turla**（Secret Blizzardとしても知られる）は、その**Kazuar**バックドアを大幅に強化し、ステルス性と持続性を目的とした洗練されたモジュラー型ボットネットへと転換しました。 **TurlaとFSBとの関係** 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（**CISA**）によると、**Turla**はロシア連邦保安庁（**FSB**）の第16センターと提携しています。この集団は、ATG26、Blue Python、Iron Hunter、Pensive Ursa、Secret Blizzard、Snake、SUMMIT、Uroburos、Venomous Bear、Waterbug、WRAITHなど、さまざまな名称で追跡されています。 ヨーロッパおよび中央アジアの政府、外交、防衛セクターを標的とすることで知られる**Turla**は、戦略的目標をさらに推進するために、Aqua Blizzard（ActiniumおよびGamaredonとしても知られる）によって以前に侵害されたエンドポイントも標的にしています。  ### Kazuarの変貌 **Microsoft**の脅威インテリジェンスチームは、このアップグレードがSecret Blizzardの長期的なシステムアクセスを維持し、情報を収集するという目標を反映していると指摘しています。**Turla**は、検知を回避するためにネイティブツールに依存するのではなく、ツールの設計自体にレジリエンスとステルス性を組み込んでいます。 2017年から活動している.NETバックドアである**Kazuar**は、モノリシックなフレームワークからモジュラー型ボットエコシステムへと進化しました。この新しいアーキテクチャは、3つの異なるコンポーネントタイプを備えています。 * Kernel * Bridge * Worker 各モジュールは特定の役割を持ち、柔軟な構成を可能にし、観測可能なフットプリントを削減し、タスク実行を合理化します。  _Kernel、Bridge、Workerモジュールの相互作用の概要_ ### モジュールの機能 マルウェアの配布は、PelmeniやShadowLoaderのようなドロッパーに依存してモジュールを復号化し、起動します。各モジュールのコア機能は以下の通りです。 * **Kernel**: 中央コーディネーターとして、Workerモジュールにタスクを発行し、Bridgeとの通信を管理し、ログを維持し、アンチ分析およびサンドボックスチェックを実行し、環境を構成します。構成には、コマンド＆コントロール（C2）通信、データ流出のタイミング、タスク管理、ファイルスキャン、収集、監視のパラメータが含まれます。 * **Bridge**: KernelとC2サーバー間のプロキシとして機能します。 * **Worker**: キーロギング、**Windows**イベントのフック、タスクの追跡、システム情報、ファイルリスト、Messaging Application Programming Interface（**MAPI**）の詳細を収集します。 Kernelモジュールは、内部通信にWindows Messaging、Mailslot、名前付きパイプを使用し、外部通信にはExchange Web Services、HTTP、WebSocketsを使用します。単一のKernelリーダーが選出され、Bridgeモジュールと通信します。  _KernelリーダーがWorkerのタスクを調整し、Bridgeを使用する方法_ ### 選出と通信 Kernelリーダーの選出は、アップタイムを割り込み数で割った値に基づいてMailslot上で行われます。選出されたリーダーは自身をアナウンスし、他のKernelモジュールをサイレントモードに入るように指示します。これにより、リーダーKernelモジュールはアクティビティをログに記録し、Bridgeモジュールを通じてタスクを要求できるようになります。 また、このモジュールはKernelモジュール間の名前付きパイプチャネルをセットアップし、WindowsメッセージングまたはMailslotを介したKernelからWorker、KernelからBridgeへの通信を促進します。 KernelはC2サーバーから新しいタスクをポーリングし、メッセージを解析し、Workerにタスクを割り当て、構成を更新し、タスクの結果をサーバーに返送します。タスクハンドラーは、Kernelリーダーによって発行されたコマンドを処理します。 Workerによって収集されたデータは集約され、暗号化され、C2サーバーに流出される前にワーキングディレクトリに書き込まれます。 ### 整理されたデータ処理 **Kazuar**は、内部操作の中央ステージングエリアとして専用のワーキングディレクトリを使用します。このディレクトリは構成を通じて定義され、曖昧さを避けるために完全修飾パスを使用します。 ワーキングディレクトリ内では、**Kazuar**は機能ごとにデータを整理し、タスク、収集出力、ログ、構成資料を分離します。この設計により、タスク実行とデータストレージおよび流出が分離され、再起動後も運用状態が維持され、外部インフラストラクチャとの直接的なやり取りを最小限に抑えながら、モジュール間の非同期アクティビティが調整されます。