Il gruppo di hacker noto come Secret Blizzard, associato alla Russia, è stato recentemente identificato nell'uso di malware appartenenti ad altri attori per distribuire un backdoor chiamato Kazuar su dispositivi in Ucraina. Questo tipo di attacco è stato osservato dal team di intelligence di Microsoft, che ha notato come il gruppo abbia sfruttato il malware Amadey per scaricare software personalizzato su sistemi specifici associati all'esercito ucraino tra marzo e aprile 2024. Questa attività rappresenta il secondo caso dal 2022 in cui Secret Blizzard, conosciuto anche come Turla, ha sfruttato una campagna di cybercrime per diffondere i propri strumenti in Ucraina.

Secret Blizzard è noto per la sua capacità di sfruttare gli accessi di altri attori, evidenziando il suo approccio diversificato agli attacchi. La società ha sottolineato che il gruppo utilizza anche altre tecniche, come le campagne avversarie-in-the-middle (AitM) e gli attacchi watering hole, oltre al phishing mirato. La loro attività è volta a garantire un accesso discreto e a lungo termine a diversi settori, con un focus particolare su ministeri degli esteri, ambasciate, uffici governativi e aziende legate alla difesa.

Il recente rapporto di Microsoft, in collaborazione con Lumen Technologies Black Lotus Labs, ha rivelato che Turla ha dirottato 33 server di comando e controllo (C2) di un gruppo di hacker pakistano per condurre le proprie operazioni. Gli attacchi contro entità ucraine coinvolgono l'utilizzo dei bot Amadey per distribuire il backdoor Tavdig, che viene poi utilizzato per installare una versione aggiornata di Kazuar, come documentato da Palo Alto Networks Unit 42 nel novembre 2023.

La cybercriminalità legata ad Amadey è spesso associata all'esecuzione del miner di criptovaluta XMRig. Si ritiene che Secret Blizzard abbia utilizzato il servizio di malware-as-a-service (MaaS) Amadey o abbia avuto accesso ai pannelli di controllo Amadey per scaricare un dropper PowerShell sui dispositivi presi di mira. Questo dropper contiene un payload Amadey codificato in Base64 e un segmento di codice che si collega a un server C2 di Turla.

Inoltre, l'attacco prevede il download di uno strumento di ricognizione personalizzato per raccogliere informazioni sul dispositivo della vittima e verificare la presenza di Microsoft Defender, permettendo così all'attore di concentrarsi su sistemi di maggiore interesse. Microsoft ha anche rilevato l'attore riutilizzare COOKBOX, un backdoor PowerShell legato a un altro gruppo hacker russo chiamato Flying Yeti, per distribuire un dropper PowerShell che incorpora Tavdig.

Queste scoperte evidenziano come Secret Blizzard continui a cercare punti d'appoggio forniti da altre parti, sia acquistando l'accesso sia rubandolo, per condurre campagne di spionaggio in modo da oscurare la propria presenza. Questo rappresenta una tecnica efficace di offuscamento per complicare l'attribuzione agli analisti di intelligence delle minacce.