Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Turla vừa tạo ra thứ còn nguy hiểm hơn backdoor: Một botnet gián điệp tự vận hành

Updated
16 min read
Turla vừa tạo ra thứ còn nguy hiểm hơn backdoor: Một botnet gián điệp tự vận hành
L
Lưu Tuấn Anh
Part of seriesNewsletters

Tổng quan chiến dịch

Trong nhiều năm, các chiến dịch APT (Advanced Persistent Threat) thường dựa vào mô hình quen thuộc: một malware bí mật kết nối tới máy chủ điều khiển (C2) để nhận lệnh và đánh cắp dữ liệu. Nhưng Kazuar - công cụ gián điệp mới nhất được cho là của nhóm Turla thuộc Nga — đang phá vỡ hoàn toàn mô hình đó.

Theo các phân tích mới từ Microsoft và nhiều hãng bảo mật quốc tế, Kazuar không còn đơn thuần là một backdoor hay RAT truyền thống. Nó đã tiến hóa thành một botnet P2P mô-đun có khả năng tự tổ chức, tự duy trì và gần như không còn phụ thuộc vào hạ tầng điều khiển tập trung.

Điều khiến Kazuar trở nên đáng sợ không nằm ở khả năng đánh cắp dữ liệu, mà ở cách nó tồn tại bên trong mạng nạn nhân: âm thầm, phân tán, khó triệt phá và có khả năng “sống sót” ngay cả khi một phần hạ tầng bị phát hiện.

Báo cáo này sẽ phân tích chi tiết về kiến trúc hoạt động của Kazuar, mô hình botnet P2P mà Turla triển khai, các kỹ thuật stealth và persistence cũng như lý do vì sao Kazuar được đánh giá là một trong những framework gián điệp nguy hiểm nhất hiện nay.

Tổng quan về nhóm APT Turla (Secret Blizzard)

Turla là ai?

Turla là một trong những nhóm APT (Advanced Persistent Threat) lâu đời, bí ẩn và tinh vi nhất từng được ghi nhận trong lịch sử an ninh mạng hiện đại. Nhóm này được cho là hoạt động dưới sự bảo trợ của cơ quan tình báo Nga, thường được liên kết với FSB (Federal Security Service of the Russian Federation).

Trong cộng đồng threat intelligence, Turla còn được biết đến dưới nhiều tên gọi khác như: Secret Blizzard (Microsoft), Uroburos, Snake, Venomous Bear, Waterbug, Krypton. Nhóm đã hoạt động ít nhất từ đầu những năm 2000 và liên tục xuất hiện trong các chiến dịch gián điệp mạng nhắm vào: chính phủ, quân đội, đại sứ quán, tổ chức nghiên cứu, nhà thầu quốc phòng, cơ sở hạ tầng trọng yếu và các tổ chức ngoại giao trên toàn thế giới.

Một trong những APT “nguy hiểm và kiên nhẫn nhất”

Khác với các nhóm ransomware thiên về tài chính, mục tiêu chính của Turla là: gián điệp chiến lược, đánh cắp thông tin tình báo, duy trì hiện diện lâu dài trong hệ thống nạn nhân và theo dõi hoạt động địa chính trị.

Turla nổi tiếng với khả năng: duy trì persistence nhiều năm, sử dụng malware tùy biến cực cao, triển khai hạ tầng C2 phức tạp và che giấu dấu vết rất hiệu quả.

Đặc điểm nổi bật

Một điểm khác biệt lớn của Turla là khả năng tự phát triển các framework malware cực kỳ tinh vi. Thay vì phụ thuộc vào mã độc phổ biến trên underground market, nhóm này sở hữu cả một hệ sinh thái implant và backdoor riêng, được thiết kế cho từng mục tiêu cụ thể. Những malware như Snake, ComRAT, Crutch hay gần đây là Kazuar đều cho thấy trình độ kỹ thuật rất cao, đặc biệt trong việc che giấu lưu lượng mạng và duy trì persistence.

Turla cũng nổi tiếng với việc tận dụng hạ tầng hợp pháp để che giấu hoạt động điều khiển. Trong nhiều chiến dịch trước đây, nhóm từng lợi dụng Gmail, Dropbox, OneDrive hoặc các dịch vụ cloud phổ biến làm kênh C2 nhằm khiến traffic độc hại trông giống hoạt động bình thường của người dùng. Điều này giúp malware dễ dàng vượt qua các cơ chế giám sát truyền thống.

Một trong những kỹ thuật từng khiến giới an ninh mạng kinh ngạc là việc Turla sử dụng kết nối vệ tinh dân dụng để che giấu nguồn gốc thật của hạ tầng điều khiển. Thay vì giao tiếp trực tiếp từ máy chủ của chúng, nhóm lợi dụng lưu lượng vệ tinh của người dùng hợp pháp nhằm tạo ra lớp proxy gần như không thể truy vết trong thời điểm đó.

Bối cảnh và Phương thức phát tán

Kazuar không phải là mã độc mới; nó đã được Turla sử dụng từ năm 2017. Tuy nhiên, phiên bản botnet P2P mới nhất cho thấy sự lột xác hoàn toàn về mặt kỹ thuật. Mã độc được cài đặt vào hệ thống mục tiêu thông qua các dropper quen thuộc như Pelmeni hoặc ShadowLoader.

Điểm đáng chú ý trong giai đoạn phát tán là kỹ thuật mã hóa payload: payload cấp hai được mã hóa dựa trên hostname của mục tiêu. Kỹ thuật này đảm bảo mã độc chỉ có thể giải mã và thực thi trên đúng máy của nạn nhân, gây khó khăn cho việc phân tích tự động trên các hệ thống sandbox độc lập. Ngoài ra, Kazuar còn tích hợp sẵn một .NET loader sử dụng COM object để khởi chạy các module chính.

Khi được kích hoạt, mã độc thực hiện hàng loạt bài kiểm tra (anti-analysis checks) gắt gao. Nó rà quét các tiến trình đang chạy để tìm công cụ phân tích, kiểm tra các DLL liên quan đến sandbox và quét desktop để tìm "canary files". Chỉ khi vượt qua toàn bộ các bài kiểm tra này, botnet mới chính thức đi vào hoạt động.

Luồng thực hiện

Giai đoạn 1 - Tiếp cận mục tiêu

Turla nổi tiếng với khả năng nhắm mục tiêu cực kỳ chọn lọc. Không giống các chiến dịch malware đại trà, nhóm thường dành nhiều thời gian để nghiên cứu tổ chức mục tiêu trước khi phát động tấn công.

Một trong những phương pháp phổ biến nhất là spear-phishing. Nạn nhân sẽ nhận được: email giả mạo, tài liệu chứa macro độc hại, file archive ngụy trang hoặc liên kết dẫn tới payload độc hại.

Bên cạnh spear-phishing, Turla còn triển khai watering-hole attack - kỹ thuật tấn công thông qua các website mà mục tiêu thường xuyên truy cập. Khi người dùng truy cập website đã bị cài implant hoặc exploit kit, malware sẽ âm thầm được triển khai vào hệ thống mà gần như không cần tương tác bổ sung.

Trong một số chiến dịch gần đây, Turla cũng tận dụng các lỗ hổng public-facing để giành quyền truy cập ban đầu. Một ví dụ đáng chú ý là việc khai thác: Citrix ADC vulnerability đặc biệt là CVE-2023-3519, nhằm thực thi mã từ xa và chiếm foothold bên trong mạng doanh nghiệp.

Giai đoạn 2 - Deployment

Sau khi giành được quyền truy cập ban đầu, Turla bắt đầu triển khai chuỗi malware nhiều lớp nhằm đưa Kazuar vào hệ thống mà không kích hoạt cảnh báo bảo mật. Ở giai đoạn này, các implant nhỏ đóng vai trò cực kỳ quan trọng. Theo nhiều báo cáo threat intelligence, Turla sử dụng các first-stage malware như Capibar để: xác minh môi trường nạn nhân, thực hiện anti-analysis checks, kiểm tra sandbox và đánh giá xem hệ thống có đủ giá trị để triển khai implant chiến lược hay không.

Nếu mục tiêu được đánh giá phù hợp, Capibar sẽ tiếp tục tải các loader chuyên dụng như: Pelmeni hoặc ShadowLoader. Đây là những thành phần chịu trách nhiệm: giải mã payload, inject malware vào memory, triển khai Kazuar mà không để lại nhiều artifact trên disk.

Giai đoạn 3 - Hậu khai thác

Sau khi Kazuar được triển khai thành công, chiến dịch bước sang giai đoạn quan trọng nhất: duy trì hiện diện dài hạn và thu thập tình báo. Đây là lúc Kazuar bắt đầu thể hiện vai trò của một framework espionage hoàn chỉnh thay vì chỉ là backdoor thông thường.

Ở thời điểm này, hệ thống của nạn nhân gần như đã trở thành một node nằm bên trong mạng botnet espionage của Turla - nơi malware có thể: tồn tại âm thầm trong thời gian dài, tự phục hồi khi bị gián đoạn và liên tục truyền dữ liệu chiến lược ra ngoài mà rất khó bị phát hiện.

Kiến trúc của Kazuar

Kernel

Kernel module chính là “bộ não” thật sự của Kazuar - thành phần chịu trách nhiệm điều phối toàn bộ mạng botnet trên mỗi máy bị nhiễm. Không chỉ quản lý hơn 150 tham số cấu hình khác nhau, Kernel còn đóng vai trò trung tâm trong việc ra lệnh cho các Worker module và kiểm soát luồng giao tiếp với Bridge module.

Nhưng thứ khiến kiến trúc này trở nên đáng sợ không nằm ở số lượng tính năng, mà ở cách Turla thiết kế cơ chế vận hành để đạt mức độ tàng hình gần như tuyệt đối.

Thay vì để mọi máy bị nhiễm đồng loạt beacon ra Internet như các botnet truyền thống và rất dễ bị EDR hoặc hệ thống giám sát mạng phát hiện thì Kazuar sử dụng một cơ chế nội bộ mang tên Leadership Election.

Trong mạng botnet, các Kernel module liên tục đánh giá trạng thái của nhau dựa trên nhiều yếu tố như: thời gian hoạt động (uptime), độ ổn định của kết nối, số lần gián đoạn hoặc lỗi hệ thống (interrupts). Từ đó, toàn bộ bot sẽ tự động “bầu chọn” ra một node duy nhất đóng vai trò Kernel Leader.

Ngay khi leader được xác định, mọi Kernel còn lại lập tức chuyển sang trạng thái SILENT. Chúng vẫn hoạt động âm thầm trong nền, nhưng hoàn toàn ngừng thực hiện các kết nối outbound đáng ngờ.

Kết quả là trong cả một mạng botnet có thể gồm hàng chục hoặc hàng trăm endpoint bị nhiễm, chỉ duy nhất một node được phép giao tiếp với hạ tầng C2 thông qua Bridge module. Đây chính là điểm cực kỳ tinh vi trong thiết kế của Kazuar.

Bridge

Nếu Kernel là bộ não điều phối toàn bộ botnet, thì Bridge module chính là “đường hầm bí mật” kết nối mạng lưới Kazuar với hạ tầng điều khiển bên ngoài. Bridge không đơn thuần chỉ là một proxy trung gian. Nó được thiết kế như một lớp che giấu lưu lượng cực kỳ tinh vi, giúp Turla biến traffic độc hại thành thứ trông hoàn toàn hợp pháp trong mắt hệ thống giám sát mạng.

Toàn bộ giao tiếp giữa Kernel Leader và máy chủ C2 đều phải đi qua Bridge module. Điều này cho phép Turla kiểm soát tập trung mọi outbound communication và giảm thiểu dấu vết bất thường phát sinh từ endpoint bị nhiễm.

Điểm đáng chú ý là Bridge hỗ trợ nhiều giao thức giao tiếp khác nhau thay vì phụ thuộc vào một kênh cố định. Theo phân tích của Microsoft, module này có thể hoạt động thông qua: HTTP, WebSocket Secure (WSS) và đặc biệt là Exchange Web Services (EWS).

Worker

Nếu Kernel là bộ não và Bridge là kênh liên lạc bí mật, thì Worker module chính là lực lượng trực tiếp thực hiện các hoạt động gián điệp bên trong hệ thống nạn nhân. Đây là thành phần chịu trách nhiệm thu thập dữ liệu, giám sát người dùng và thực thi các nhiệm vụ tình báo mà operator gửi xuống từ hạ tầng điều khiển.

Khác với các malware thông thường chỉ tập trung đánh cắp file hoặc mở remote shell, Worker của Kazuar hoạt động giống một implant espionage toàn diện. Nó liên tục theo dõi hệ thống để thu thập càng nhiều dữ liệu giá trị càng tốt nhưng vẫn giữ mức độ stealth cao nhằm tránh gây chú ý.

Một trong những chức năng quan trọng nhất của Worker là keylogging. Module này có thể ghi lại thao tác bàn phím của người dùng nhằm thu thập: credential, email nội bộ, tài liệu nhạy cảm, hoặc thông tin truy cập hệ thống chiến lược.

Một trong những khả năng đáng chú ý khác là thu thập dữ liệu MAPI email. Thay vì chỉ đánh cắp file vật lý, Kazuar có thể truy cập trực tiếp vào dữ liệu email nội bộ thông qua Messaging Application Programming Interface (MAPI), giúp operator: theo dõi liên lạc, lấy nội dung email, phân tích quan hệ nội bộ và thu thập thông tin tình báo chiến lược.

Cơ chế giao tiếp nội bộ (IPC) và Tổ chức dữ liệu

Để các module nói chuyện với nhau mà không bị phát hiện bởi các công cụ rà quét mạng cục bộ, Kazuar sử dụng các kỹ thuật Inter-process communication (IPC) tinh vi:

  • Window Messaging (Mặc định): Đăng ký các hidden windows và gửi thông điệp giữa các tiến trình.

  • Mailslots: Sử dụng hàm hash của tên module để tạo mailslot ẩn.

  • Named Pipes: Kernel leader sử dụng luồng REMO để tạo named pipes trao đổi trực tiếp với các Kernel client khác (pattern mặc định là MD5 của pipename-kernel-<Bot version>).

Toàn bộ các message packets được định dạng bằng Google Protocol Buffers (Protobuf), giúp quá trình tuần tự hóa dữ liệu diễn ra nhanh chóng và ít tốn tài nguyên.

Bên cạnh đó, Kazuar sử dụng một thư mục làm việc (Working Directory) tập trung trên disk. Mọi dữ liệu thu thập từ Worker, các file cấu hình và task đều được lưu độc lập tại đây. Dữ liệu luôn được mã hóa tại chỗ trước khi Bridge module exfiltrate. Thiết kế này cô lập quá trình thu thập với quá trình truyền tải, đảm bảo botnet vẫn duy trì trạng thái hoạt động ngay cả khi máy tính khởi động lại hoặc mất kết nối C2.

MITRE ATT&CK Mapping

Tactic Technique ID
Persistence Scheduled Task T1053
Defense Evasion Obfuscated Files T1027
Command & Control Peer-to-Peer Communication T1095
Command & Control Multi-hop Proxy T1090.003
Discovery System Information Discovery T1082
Lateral Movement Remote Services T1021
Execution PowerShell T1059.001
Credential Access OS Credential Dumping T1003
Collection Data from Local System T1005
Exfiltration Exfiltration Over C2 Channel T1041

IOC

Indicator

Type

Description

69908f05b436bd97baae56296bf9b9e734486516f9bb9938c2b8752e152315d4  

SHA-256

hpbprndiLOC.dll – Kazuar Loader

c1f278f88275e07cc03bd390fe1cbeedd55933110c6fd16de4187f4c4aaf42b9

SHA-256

Decrypted Kernel Module

6eb31006ca318a21eb619d008226f08e287f753aec9042269203290462eaa00d

SHA-256

Decrypted Bridge Module

436cfce71290c2fc2f2c362541db68ced6847c66a73b55487e5e5c73b0636c85

SHA-256

Decrypted Worker Module

Nhận định chuyên gia

Sự tiến hóa của Kazuar từ một công cụ nguyên khối (monolithic) thành hệ sinh thái P2P phân tán phản ánh một bước chuyển mình chiến lược của Turla. Thay vì chỉ dựa vào Living-off-the-Land (LOLBins) vốn đang bị giám sát ngày càng chặt chẽ bởi EDR, Turla chọn cách thiết kế các module chuyên biệt với cơ chế "leader". Việc chỉ cho phép một thiết bị duy nhất giao tiếp với C2 giúp Kazuar lọt qua các kịch bản phát hiện bất thường mạng (network anomaly detection) truyền thống tại các SOC.

Rủi ro đối với mục tiêu tại Việt Nam: Turla (Secret Blizzard) khét tiếng với các chiến dịch tình báo mạng nhắm vào các cơ quan chính phủ, ngoại giao và quốc phòng. Tại khu vực Đông Nam Á, Việt Nam luôn là một trong những mục tiêu có giá trị chiến lược cao. Theo quan sát thực tiễn tại các hệ thống giám sát, các cuộc tấn công nhắm vào hạ tầng email (đặc biệt là Exchange Server) và các văn bản chỉ đạo điều hành của các tổ chức nhà nước diễn ra thường xuyên. Việc Kazuar tích hợp sẵn module đánh cắp dữ liệu MAPI email và khả năng giao tiếp C2 giấu mặt qua EWS cho thấy mã độc này được thiết kế "đo ni đóng giày" cho môi trường mạng của các tổ chức thuộc khối công (public sector) và các bộ ban ngành, vốn phụ thuộc nhiều vào nền tảng Microsoft Exchange. Rủi ro rò rỉ tài liệu mật (espionage) là cực kỳ nghiêm trọng nếu hệ thống bị nhiễm, và việc phát hiện bằng các rule cũ sẽ không còn hiệu quả.

Khuyến nghị

Immediate (0-24h)

  • Rà soát các tiến trình sử dụng Named Pipes có định dạng chuỗi mã hóa (đặc biệt là dạng MD5) hoặc sự xuất hiện bất thường của các hidden windows liên lạc chéo qua Window Messaging.

  • Cô lập ngay lập tức các máy trạm có kết nối EWS bất thường ra các địa chỉ IP ngoài danh sách cho phép (whitelist).

Short-term (1-7 ngày)

  • Cấu hình và kích hoạt các rules Attack Surface Reduction (ASR) trên hệ thống EDR: chặn các script bị obfuscate, ngăn chặn tiến trình sinh ra từ WMI/PSExec, và cấm thực thi các file không thuộc danh sách tin cậy.

  • Đảm bảo tính năng Endpoint Detection and Response (EDR) đang chạy ở chế độ block mode và Network Protection được bật để chủ động ngắt kết nối C2.

Long-term

  • Triển khai thu thập và giám sát PowerShell logs (bao gồm Module và Script Block Logging) vào SIEM.

  • Xây dựng kiến trúc Zero Trust cho hạ tầng mạng, áp dụng micro-segmentation để chặn đứng khả năng lan truyền (lateral movement) của botnet P2P trong nội bộ.

Tài liệu tham khảo

Russian hackers turn Kazuar backdoor into modular P2P botnet

Turla Turns Kazuar Backdoor Into Modular P2P Botnet for Persistent Access

Kazuar: Anatomy of a nation-state botnet | Microsoft Security Blog

Dark Web Profile: Turla

#turla#backdoor#c2-server#botnet#kazuar#ipc#threat-intelligence

Comments

Join the discussion

No comments yet. Be the first to comment.

Newsletters

Part 1 of 50
Up next

GhostLock: Ransomware Không Mã Hóa Nhưng Có Thể Làm Tê Liệt SMB Share trên các hệ thống Windows

Tổng quan Ngày 11 tháng 5 năm 2026, Các chuyên gia an ninh mạng công bố GhostLock một proof-of-concept tool chứng minh rằng một domain user bình thường, không cần quyền admin, có thể khóa hàng trăm n

More from this blog

F

FPT IS Security

790 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.