マイクロソフトは、ロシア政府系グループSecret Blizzardと関連するカズアル(Kazuar)マルウェアについての新しい技術的洞察を公開しました。このマルウェアはステルス性に優れた、モジュラーなピア・ツー・ピア(P2P)ボットネットへと進化し、持続的なサイバースパイ活動を目的に設計されています。
当初は従来のバックドアとして識別されていたカズアルは、回復力、低い検出率、柔軟な制御を優先する高度なエコシステムへと段階的に進化してきました。
この変化は、特にヨーロッパ、中央アジア、ウクライナにおける政府、外交、防衛部門を対象とした長期的な情報収集活動を維持するSecret Blizzardの広範な戦略を反映しています。
このグループは、ターラ(Turla)およびベノマス・ベア(Venomous Bear)として追跡される活動と重複しており、ロシア連邦保安庁(FSB)と広く関連付けられています。
カズアルの設計は、検出を減らすためにモジュール全体に責務を分離しています。カーネルモジュールは中央コーディネーターとして機能し、タスクの発行、ログの維持、通信の管理を行います。
マイクロソフトはGBHACKERSとともに報告しています。このマルウェアはカーネル、ブリッジ、ワーカーという3つのコアモジュールで構成された分散アーキテクチャを通じて動作します。各モジュールは侵害されたシステムへの秘密のアクセスを維持する上で異なる役割を果たします。
また、悪意のある機能を実行する前に、サンドボックス環境やセキュリティツールの検出など、アンチアナライシスチェックも実行します。
ブリッジモジュールは、感染したシステムとコマンド・アンド・コントロール(C2)インフラストラクチャ間の通信プロキシとして機能します。一方、ワーカーモジュールはキーロギング、ファイル収集、システム監視などのタスクを実行します。
重要な革新は、カズアルのリーダー選出メカニズムです。感染したすべてのマシンが外部と通信するのではなく、単一の「リーダー」カーネルノードが選ばれてC2サーバーと相互作用します。これにより、ネットワークノイズが大幅に削減され、ボットネットが検出ツールを回避するのに役立ちます。
ドロッパーは小さな.NETローダーを最終ペイロードとともに配置します。ドロッパーはローダー(多くの場合、COMオブジェクトとして構成される)を呼び出し、復号化されたペイロードを提供します。
例えば、複数の感染エンドポイントを持つ企業ネットワークでは、1つのシステムのみが送信C2トラフィックを生成し、その他は静かに動作していますが、それでも積極的にデータを収集しています。
カズアルマルウェアのモジュラーP2Pボットネット
カズアルはHTTP、WebSocket、Exchange Web Services(EWS)など複数の通信プロトコルをサポートしており、攻撃者は悪意のあるトラフィックを正当なネットワークアクティビティに融合させることができます。また、1つの方法が失敗した場合に接続性を維持するためのフォールバックチャネルも使用します。
内部的には、モジュールはパイプの名前付け、メールスロット、Windowsメッセージングなどのプロセス間通信(IPC)方法を通じて通信します。
メッセージはProtocol Buffersを使用して構造化されており、コンポーネント間の効率的で暗号化されたデータ交換を可能にします。
マルウェアはまた、感染したシステムのデータをステージングするための専用の作業ディレクトリに依存しています。キーストロークスクリーンショット、システムの詳細、ファイルなどの収集された情報は暗号化され、制御された間隔で流出される前に、ローカルに保存されます。このステージングアプローチにより、ネットワークアクティビティの疑わしいスパイクが最小化されます。
カズアルは複数のドロッパー技術を使用して配信されます。1つの方法では、ドロッパーは被害者のシステムに関連付けられた暗号化されたペイロードを埋め込み、意図した対象に対してのみ実行されるようにします。
別の方法では、.NETローダーが配置され、従来の検出をバイパスして、メモリ内でマルウェアを直接実行します。
Protobufを使用すると、マルウェアは標準ライブラリ関数を通じてメッセージを効率的にシリアル化、送信、解析できます。
アクティブになると、カズアルは150以上のパラメータを持つ広範な設定システムを使用します。これらは実行方法やパーシスタンスアンテクから流出タイミング、AMSIおよびETWセキュリティメカニズムのバイパスを含む回避戦術まで、すべてを制御します。
特に、攻撃者は設定をリモートで更新でき、マルウェアが操作中に動的に適応することを可能にします。
カズアルのモジュラーでP2Pな設計により、従来のシグネチャベースのアプローチを使用した検出がより困難になります。
代わりに、マイクロソフトは異常なIPCアクティビティ、リーダー選出パターン、ステージングされたデータ流出などの行動指標に焦点を当てることを推奨しています。
リスクを軽減するために、組織はエンドポイント検出・対応(EDR)機能を強化し、攻撃表面削減ルールを有効にし、PowerShellアクティビティを監視することをお勧めします。
Microsoft Defenderでの改ざん防止およびネットワーク保護機能を有効にすることも、悪意のある動作をブロックするのに役立ちます。
カズアルの継続的な進化は、ステルス性、モジュラー性、適応性が悪意のあるフレームワークに直接組み込まれている高度な永続的脅威(APT)ツール開発における広範なトレンドを強調しており、最新の防御に対する回復力をより強くしています。
侵害の指標
| 指標 | タイプ | 説明 |
| 69908f05b436bd97baae56296bf9b9e734486516f9bb9938c2b8752e152315d4 | SHA-256 | hpbprndiLOC.dll – カズアルローダー |
| c1f278f88275e07cc03bd390fe1cbeedd55933110c6fd16de4187f4c4aaf42b9 | SHA-256 | 復号化されたカーネルモジュール |
| 6eb31006ca318a21eb619d008226f08e287f753aec9042269203290462eaa00d | SHA-256 | 復号化されたブリッジモジュール |
| 436cfce71290c2fc2f2c362541db68ced6847c66a73b55487e5e5c73b0636c85 | SHA-256 | 復号化されたワーカーモジュール |
注: IPアドレスとドメインは意図的に難読化されており(例: [.])、予期しない解決またはハイパーリンクを防止します。MISP、VirusTotal、またはSIEMなどの制御された脅威インテリジェンスプラットフォーム内でのみ難読化を解除してください。
翻訳元: https://gbhackers.com/kazuar-malwares-modular-p2p-botnet/
