# KazuarV2 > Tipo: **backdoor** · S0265 · [MITRE ATT&CK](https://attack.mitre.org/software/S0265/) · Desenvolvido por [[g0010-turla|Turla]] (FSB) ## Visão Geral [[s0265-kazuarv2|KazuarV2]] e um backdoor de segundo estagio altamente sofisticado desenvolvido e mantido pelo [[g0010-turla|Turla]] (também conhecido como Pensive Ursa, Uroburos, Venomous Bear), grupo APT atribuido ao Servico Federal de Segurança russo (FSB). Escrito em .NET e ofuscado com o packer de código aberto ConfuserEx, o KazuarV2 representa uma evolução significativa da variante original descoberta em 2017 pela Unit 42 da Palo Alto Networks. Em julho de 2023, o CERT-UA revelou que uma versao completamente renovada do Kazuar estava sendo usada contra o setor de defesa ucraniano em campanhas multi-estagio que incluiam o novo backdoor de primeiro estagio [[capibar|Capibar]] (DeliveryCheck). A Unit 42 públicou análise técnica em outubro de 2023 documentando funcionalidades anteriormente desconhecidas, incluindo mais de 45 comandos suportados - contra apenas 26 na versao de 2017. O malware opera em um modelo multithreading onde cada funcionalidade principal e executada em thread separada: uma thread recebe comandos do C2, enquanto uma "solver thread" executa esses comandos de forma assincrona e modular. Essa arquitetura confere ao KazuarV2 capacidade de operação independente mesmo sob análise parcial. Uma caracteristica notavel e a forte sobreposicao de código com o [[s0559-sunburst|SUNBURST]], backdoor utilizado no ataque de supply chain da [[solarwinds-supply-chain-attack-2020|SolarWinds em 2020]], documentada pela Kaspersky em 2021. Essa conexão sugere reutilização de código ou base de desenvolvedores compartilhada entre operações do FSB. **Plataformas:** Windows ## Como Funciona O KazuarV2 e tipicamente entregue como payload de segundo estagio junto com outros ferramental do [[g0010-turla|Turla]]. O ciclo de operação compreende: 1. **Entrega via Capibar/DeliveryCheck** - O backdoor de primeiro estagio usa PowerShell Desired State Configuration (DSC) gerando arquivo MOF contendo script PowerShell que carrega o payload .NET em memoria 2. **Estabelecimento de persistência** - Adiciona sub-chaves em chaves de registro Run (`T1547.001`) e cria arquivo `.lnk` na pasta de startup do Windows (`T1547.009`) 3. **Profiling do sistema** - Coleta informações abrangentes: processos em execução, grupos locais, drives, configuração de rede, jánelas abertas, e informações do usuario 4. **Comúnicação C2 via HTTP/HTTPS** - Comúnicação direta com servidor C2 ou via pipes nomeados peer-to-peer entre instancias Kazuar na mesma rede (proxy interno, `T1090.001`) 5. **Execução de tarefas automatizadas** - Captura periodica de screenshots, coleta de arquivos de pastas específicas, e exfiltração de dados para staging local antes do envio (`T1074.001`) 6. **Anti-análise** - Verifica presence de ferramentas de análise, honeypots e sandboxes; cessa toda comunicação C2 se detectar ambiente de análise A versao de 2023 introduziu roubo de credenciais de aplicativos cloud (Signal, plataformas de controle de versao), implementacoes de múltiplos algoritmos de criptografia (RSA para proteger chaves AES, AES para dados em bulk), e capacidade de atualizar e substituir seu proprio binario via `T1105`. ```mermaid graph TB A["Spear-phishing<br/>Documento Office + macro"] --> B["Capibar/DeliveryCheck<br/>Primeiro estagio"] B --> C["PowerShell DSC<br/>Gera MOF malicioso"] C --> D["KazuarV2 carregado<br/>em memoria .NET"] D --> E["Persistência<br/>Registro Run + LNK"] D --> F["System Profiling<br/>Processos, usuarios, drives"] F --> G["Staging local<br/>Dados coletados"] G --> H["C2 via HTTP/HTTPS<br/>ou Proxy P2P via pipes"] H --> I["Exfiltração<br/>Credenciais, arquivos, screenshots"] ``` ## Timeline ```mermaid timeline title KazuarV2 - Historico de Atividade 2017 : Descoberta inicial pela Unit 42 : 26 comandos suportados : Alvo governos europeus e militares 2020 : SolarWinds - sobreposicao de código com SUNBURST documentada pela Kaspersky 2021 : Kaspersky confirma relacao de código com SUNBURST 2023 : CERT-UA reporta nova campanha contra defesa ucraniana : Versao renovada com Capibar como primeiro estagio : Unit 42 publica análise técnica detalhada : 45 comandos suportados, roubo de credenciais cloud, multi-encryption 2024 : Colaboracao documentada entre Gamaredon e Turla em campanhas Ucrania 2025 : Operacoes continuadas contra alvos diplomaticos e militares ``` ## TTPs MITRE ATT&CK | Tática | Técnica | Uso | |--------|---------|-----| | Persistência | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Sub-chaves em Registry Run Keys | | Persistência | [[t1547-009-shortcut-modification\|T1547.009]] | Arquivo .lnk na pasta de startup | | Coleta | [[t1125-video-capture\|T1125]] | Captura de webcam | | Coleta | [[t1113-screen-capture\|T1113]] | Capturas de tela periodicas | | C2 | [[t1090-001-internal-proxy\|T1090.001]] | Proxy P2P via named pipes entre agentes | | C2 | [[t1102-002-bidirectional-communication\|T1102.002]] | WordPress comprometido como C2 | | Evasão | [[t1027-obfuscated-files-or-information\|T1027]] | ConfuserEx + criptografia Rijndael | | Coleta | [[t1005-data-from-local-system\|T1005]] | Upload de arquivos de diretorios específicos | | Descoberta | [[t1057-process-discovery\|T1057]], [[t1083-file-and-directory-discovery\|T1083]], [[t1033-system-owneruser-discovery\|T1033]] | Profiling abrangente do sistema | ## Relevância LATAM/Brasil O [[g0010-turla|Turla]] opera predominantemente contra alvos governamentais, diplomaticos e militares na Europa e Oriente Medio. A relevância para o Brasil e estratégica: como potencia emergente com presenca ativa em G20, BRICS e ONU, o Brasil representa alvo potencial para espionagem diplomatica e economica por atores estatais russos. Embaixadas e representacoes diplomaticas brasileiras em paises da OTAN, ministerios de relacoes exteriores e organizacoes envolvidas em negociacoes geopoliticas sensiveis devem incluir o KazuarV2 em seus modelos de ameaça. A colaboracao documentada entre Gamaredon e Turla em campanhas contra a Ucrania sugere capacidade de operações conjuntas APT russas, o que amplia o risco para aliados e parceiros diplomaticos do Brasil que mantenham relacoes com paises-alvo tradicionais do Turla. ## Detecção A detecção do KazuarV2 requer abordagem em múltiplas camadas: - **Comportamental**: Monitorar processos .NET realizando injecao de DLL (`T1055.001`) ou comunicação de rede nao-caracteristica; alertar sobre criação de named pipes com nomes baseados em GUID de maquina - **Registro**: Detectar modificacoes em chaves Run por processos nao-instaladores; monitorar criação de atalhos `.lnk` em pastas de startup - **Rede**: Identificar comunicação HTTP para IPs externos a partir de processos .NET; detectar padroes de beacon com intervalos temporais regulares (`T1029`) - **Endpoint**: Regras YARA para strings caracteristicas do ConfuserEx e padroes de cifra Rijndael; assinaturas Snort/Suricata para trafego C2 do Kazuar - **Anti-análise**: O malware cessa comunicação se detectar ferramentas de análise - ausência de beacons em ambiente de monitoramento pode indicar malware dormante aguardando condicoes ideais Palo Alto Networks manteve assinatura de Threat Prevention (ID 86805) e modelos de Advanced WildFire atualizados para a variante 2023. ## Referências - [MITRE ATT&CK - S0265 Kazuar](https://attack.mitre.org/software/S0265/) - [Unit 42 - Over the Kazuar's Nest (2023)](https://unit42.paloaltonetworks.com/pensive-ursa-uses-upgraded-kazuar-backdoor/) - [CERT-UA - Campanha contra defesa ucraniana (2023)](https://cert.gov.ua/) - [The Hacker News - Turla Updates Kazuar (2023)](https://thehackernews.com/2023/11/turla-updates-kazuar-backdoor-with.html) - [Kaspersky - Sobreposicao SUNBURST/Kazuar (2021)](https://securelist.com/)