ロシア系ハッカーがKazuarバックドアをモジュール式P2Pボットネットに転換

ロシアの有名なハッカーグループであるSecret Blizzardは、長年運営してきたKazuarバックドアをモジュール式のピアツーピア（P2P）ボットネットへと進化させました。このネットワークは長期の足がかり確保、隠蔽、およびデータ収集を目的として設計されています。

Turla、Uroburos、Venomous Bearとの活動がオーバーラップするSecret Blizzardは、ロシア連邦保安庁（FSB）との関連が指摘されており、ヨーロッパ、アジア、ウクライナ全域の政府・外交機関、防衛関連企業、重要インフラを標的にしていることで知られています。

Kazuarマルウェアは

2020年、研究者はそのデプロイメントがヨーロッパの政府機関を狙った攻撃で利用されていることを明らかにしました。3年後の2023年には、ウクライナへの攻撃で使用されているのが確認されました。

“リーダー”の選出機能

Microsoft の研究者がKazuarの最新亜種を分析したところ、このマルウェアはカーネル、ブリッジ、ワーカーの3つの異なるモジュールを使用して動作していることが判明しました。

カーネルモジュールは中央のコーディネーターであり、タスク管理、その他のモジュールの制御、リーダーの選出、ボットネット全体の通信とデータフローのオーケストレーションを行います。

リーダーは、事実上、侵害された環境またはネットワークセグメント内の1つの感染システムであり、コマンド・アンド・コントロール（C2）サーバーと通信を行い、タスクを受け取ります。また、内部の他の感染システムにタスクを転送します。

非リーダーシステムは「サイレント」モードに入り、C2と直接通信しません。その結果、より良いステルス性と低い検出サーフェスが実現します。

「カーネルリーダーは、選出されたカーネルモジュールであり、他のカーネルモジュールに代わってブリッジモジュールと通信し、複数の感染ホストからの大量の外部トラフィックを回避することで、可視性を低下させます」とMicrosoftは説明しています。

リーダー選出のプロセスは内部的かつ自律的で、稼働時間、再起動回数、および割り込み回数を使用します。

ブリッジモジュールは、選出されたカーネルリーダーとリモートC2インフラストラクチャ間のトラフィックをHTTP、WebSocket、またはExchange Web Services（EWS）などのプロトコルを使用してリレーする外部通信プロキシとして機能します。

内部通信はIPC（プロセス間通信）に依存しており、Windowsメッセージング、メールスロット、および名前付きパイプを含みます。これらは通常の運用ノイズと相乗して機能します。メッセージはAES暗号化され、Google Protocol Buffers（Protobuf）でシリアル化されています。

ワーカーモジュールは、以下のような実際のスパイ活動を実行します：

• キーロギング
• スクリーンショットの取得
• ファイルシステムからのデータ収集
• システムおよびネットワーク偵察
• メール/MAPIデータの収集（Outlookダウンロード含む）
• ウィンドウの監視
• 最近使用したファイルの盗聴

収集されたデータは暗号化され、ローカルにステージングされた後、ブリッジモジュールを通じて流出されます。

Microsoftはカザールの多用途性を強調しており、現在150以上の設定オプションをサポートしており、操作者は特定のセキュリティバイパスの有効/無効化、タスクスケジューリングの実行、データ窃取のタイミングと流出チャンクのサイズ設定、プロセスインジェクション、タスク実行の管理などを実行できます。

セキュリティバイパスオプションに関しては、Kazuarは現在、マルウェア対策スキャンインターフェース（AMSI）バイパス、Windows用イベントトレーシング（ETW）バイパス、およびWindows Lockdown Policy（WLDP）バイパスを提供しています。

Secret Blizzardは通常、インテリジェンス収集のためにターゲットシステムに長期の足がかりを求めています。同グループは政治的重要性を持つドキュメントとメールコンテンツを流出させます。

Microsoftは、カザールのモジュール式で高度に設定可能な性質が脅威を特に回避しやすくするため、企業は静的署名ではなく行動検出に防御を集中させることをお勧めします。