Microsoftは、国家支援グループのSecret Blizzardと関連するマルウェアファミリーであるカザール(Kazuar)が、標準的なバックドアから高度にモジュール化されたピア・ツー・ピア(P2P)ボットネットへ進化したことを明かしました。
この高度なアップグレードにより、脅威アクターはヨーロッパ、中央アジア、ウクライナ全域の政府および外交システムへの永続的で秘密裏なアクセスを維持することができます。
ネイティブシステムツールに頼って隠蔽するのではなく、Secret Blizzardはカザール(Kazuar)のコアフレームワークに直接ステルス機能を組み込みました。
カザール(Kazuar)は現在、Kernel、Bridge、Workerの3つの異なるモジュールに分かれた分散型ボットネットエコシステムを使用して動作しています。完全なP2Pネットワークを構築するには、感染したホストは3つのコンポーネント全てをデプロイする必要があり、それぞれが特定の役割を担います。
Kernelモジュールは、操作の中枢となります。タスク調整、広範なアンチサンドボックス回避チェック実行、ネットワークノイズを最小化するために感染マシン間でリーダーを選出します。
選出されたKernelリーダーのみがアクティビティのログとタスク要求を許可されています。Bridgeモジュールはネットワークの外部プロキシレイヤーとして機能します。
Kernelリーダーとリモートコマンド・アンド・コントロール(C2)サーバー間のすべての通信を処理します。
Exchange Web Services、HTTP、またはWebSocketsを経由してBridgeを通してトラフィックをルーティングすることで、より広いボットネットはディフェンダーから完全に隠れたままになります。
最後に、Workerモジュールは感染したマシン上で実行部分として機能します。キーロギング、スクリーンショットキャプチャ、データ流出のためのステージング用の積極的なフォレンジックデータ収集などの非同期コマンドを実行します。
配信は通常、軽量な.NETローダーをデプロイしてカザール(Kazuar)ペイロードをメモリ内で完全に実行するカスタムドロッパーを経由して行われます。
検出をさらに回避するために、マルウェアは高度に暗号化されたWindows MessagingまたはMailslotプロトコルを使用して内部的に通信します。
この職務の厳格な分離と単一リーダー通信モデルは、ネットワーク上のボットネットの観察可能なフットプリントを大幅に削減します。
ディフェンダーは単一のマルウェアサンプルを超えて、内部メッセージルーティングやリーダー選出などの行動異常を探索するよう促されています。
セキュリティチームは、以下の既知の侵害指標を使用してカザール(Kazuar)のローダーとコアモジュールを特定およびブロックできます。
翻訳元: https://cyberpress.org/microsoft-exposes-kazuar-framework/