Turla, Kazuar 백도어를 모듈형 P2P 봇넷으로 바꿔 지속적인 접근을 확보.
출처: The Hacker News
Ravie Lakshmanan2026년 5월 15일 Botnet / Threat Intelligence
러시아 국가 지원 해킹 그룹인
Turla
가 자체 백도어인 Kazuar를 은밀하고 지속적인 접근을 위해 설계된 모듈형 P2P(피어‑투‑피어) 봇넷으로 전환했습니다.
미국 사이버보안 및 인프라 보안청(CISA)에 따르면 Turla는 러시아 연방보안국(FSB) 16센터와 연계된 것으로 평가됩니다. 이 그룹은 ATG26, Blue Python, Iron Hunter, Pensive Ursa, Secret Blizzard(구 Krypton), Snake, SUMMIT, Uroburos, Venomous Bear, Waterbug, WRAITH 등으로 알려진 광범위한 사이버 위협 활동과도 겹칩니다.
Turla는 유럽·중앙아시아의 정부, 외교, 방위 부문을 주요 표적으로 삼으며,
이전에 Aqua Blizzard(Actinium 및 Gamaredon)에게 침해당한 엔드포인트도 공격 대상에 포함시켜 크렘린의 전략적 목표를 지원해 왔습니다.
Microsoft 위협 인텔리전스 팀은 목요일 발표한 보고서에서 “이번 업그레이드는 Secret Blizzard가 장기적인 시스템 접근을 확보해 정보 수집을 수행하려는 광범위한 목표와 일치한다”고 밝혔습니다. 이어 “많은 위협 행위자는 탐지를 피하기 위해 네이티브 도구(LOLBins)의 사용을 늘리고 있지만, Kazuar가 모듈형 봇으로 진화한 것은 Secret Blizzard가 회복력과 은밀성을 도구 자체에 직접 구현하고 있음을 보여준다”고 설명했습니다.
출처
Turla의 핵심 도구인
Kazuar
는 2017년부터 지속적으로 사용돼 온 정교한 .NET 백도어입니다. Microsoft가 최근 발표한 연구에 따르면, Kazuar는 “단일형(monolithic) 프레임워크”에서 세 가지 구분된 구성 요소를 갖춘 모듈형 봇 생태계로 진화했습니다. 각 구성 요소는 명확한 역할을 가지고 있어 유연한 설정, 관측 가능성 감소, 광범위한 작업 수행이 가능해졌습니다.
Kernel, Bridge, Worker 모듈 간 상호작용 개요
악성코드를 배포하는 공격자는 Pelmeni, ShadowLoader와 같은 드롭퍼를 이용해 모듈을 복호화하고 실행합니다. Kazuar 아키텍처의 기반이 되는 세 가지 모듈 유형은 다음과 같습니다.
-
Kernel
- 봇넷의 중앙 조정자 역할을 수행하며 Worker 모듈에 작업을 할당합니다.
- Bridge 모듈과의 통신을 관리하고, 행동 및 수집된 데이터 로그를 유지합니다.
- 안티‑분석·샌드박스 검사를 수행하고, C2 통신, 데이터 유출 타이밍, 작업 관리, 파일 스캔·수집, 모니터링 등에 관한 다양한 매개변수를 지정하는 설정을 통해 환경을 구성합니다.
-
Bridge
- Leader Kernel 모듈과 C2 서버 사이의 프록시 역할을 합니다.
-
Worker
- 키 입력을 기록하고, Windows 이벤트를 훅킹하며, 작업을 추적합니다.
- 시스템 정보, 파일 목록, Messaging Application Programming Interface(MAPI) 세부 정보를 수집합니다.
Kernel 모듈은 Windows Messaging, Mailslot, Named Pipe를 통한 세 가지 내부 통신 메커니즘과 Exchange Web Services, HTTP, WebSockets를 이용한 세 가지 외부 인프라 접속 방식을 제공합니다. 또한, 다른 Kernel 모듈을 대신해 Bridge와 통신할 단일 Kernel 리더를 “선출”합니다.
](