Kazuar マルウェアファミリーの大きな進化が起こっています。Kazuar は、ロシア政府が支援する脅威グループ Secret Blizzard(Turla および Venomous Bear とも呼ばれる)と関連している、長年にわたるサイバー諜報ツールです。
Kazuar は従来、政府、外交、防衛セクターを標的とした諜報キャンペーンに対応していました。その最新の反復では、Kernel、Bridge、Worker の 3 つの主要コンポーネントで構成されるモジュール型アーキテクチャが導入されました。この設計により、感染したシステム全体に責任を分散させながら、検出機会の数を制限します。
Secret Blizzard はランディング・オフ・ザ・ランド技術に大きく依存する代わりに、ステルス機能を Kazuar の構造に直接埋め込みました。
一度に外部と通信するのは 1 つの感染したシステムのみであり、ネットワークノイズが大幅に削減され、検出がより困難になります。このモジュール型アプローチにより、インフラストラクチャの一部が破壊された場合でも、運用の継続性が確保されます。
Kazuar は複数の高度な方法で展開されます。1 つの技術は Pelmeni dropper を使用し、実行可能ファイル内に暗号化されたペイロードを埋め込みます。
場合によっては、ペイロード実行がシステムホスト名などの特定のホスト属性に結び付けられ、意図したターゲット外での再利用が防止されます。
Polyswarm の分析によると、Kazuar は従来のバックドアから、ステルス、復元力、および長期的なインテリジェンス収集向けに設計されたモジュール型のリーダー駆動型マルウェアエコシステムへと進化しました。
別の方法では、COM オブジェクトとして構成される .NET ベースのローダーを使用し、メモリ内実行を有効にします。これにより、ディスクアーティファクトが削減され、従来のエンドポイント検出メカニズムの回避を支援します。
Kazuar マルウェア、モジュール型スパイウェアへ進化
Kernel モジュールは中央コーディネーターとして機能し、タスク、通信、設定を管理します。また、サンドボックス検出、プロセス検査、カナリアファイルチェックなどのアンチ分析機能も含まれています。
Kazuar は現在、約 150 の設定オプションをサポートしており、以下を含む運用の柔軟な制御が可能です。
- データ流出のタイミングとトランスポート選択。
- AMSI、WLDP、および ETW バイパス技術。
- キーロギング、スクリーンショットキャプチャ、ファイル収集。
- MAPI ベースのメール監視とシステム偵察。
モジュール間の内部通信は、名前付きパイプ、メールスロット、隠し Windows メッセージングなどのプロセス間通信(IPC)メカニズムに依存しています。外部通信の場合、Kazuar は HTTP、WebSocket、および Exchange Web Services をサポートしており、組み込みのフォールバックチャネルがあります。
この進化を定義する機能は、Kazuar のリーダーシップ選出モデルです。Bridge モジュール経由で外部コマンド・アンド・コントロール(C2)通信を担当するアクティブなリーダーとして選出される Kernel インスタンスは 1 つだけです。他の感染したシステムは SILENT モードに入り、アウトバウンド通信を停止します。
リーダーシップはシステムの稼働時間などの安定性指標を使用して動的に決定されます。選出されたリーダーは、暗号化されたチャネルを通じて内部的にタスクを配信します。これにより、監視可能なトラフィックが削減され、外部通信を一元化することでステルスが向上します。
Bridge モジュールは、リーダーノードと外部インフラストラクチャ間のプロキシとして機能し、永続的な通信チャネルを維持します。Worker モジュールは、キーロギング、スクリーンショットキャプチャ、ドキュメント収集、システム監視などのスパイ活動タスクを実行します。
収集されたデータは暗号化され、流出前に構造化された作業ディレクトリに局所的に保存されます。Kazuar はまた、効率的な内部通信とルーティング用に Google Protocol Buffers(Protobuf)を使用しています。
Kazuar は、ログ、タスク結果、収集されたデータを保存するための専用ファイルシステム構造を維持しています。これにより、マルウェアは再起動とリーダーシップの変更全体で運用状態を保持できます。
そのモジュール型で分散型の設計は検出を複雑にします。セキュリティツールは、プロセス、IPC チャネル、断続的なネットワークトラフィック全体でのみフラグメント化されたアクティビティを観察する可能性があり、従来のシグネチャベースの検出の効果が低くなります。
Secret Blizzard は、CISA によってロシア連邦保安庁(FSB)の Center 16 に帰属しています。このグループは、世界中の省庁、大使館、防衛請負業者、研究機関を標的とした長い歴史があります。これは、持続的なアクセスと長期的なインテリジェンス収集のために設計された高度なモジュール型マルウェアの展開で知られています。
Kazuar の進化は、ステルスと生存可能性のために設計された復元力があるマルウェアエコシステムへの広範な移行を強調しています。モジュール型アーキテクチャ、暗号化された内部調整、および最小限の外部通信を組み合わせることで、Secret Blizzard は検出のハードルを大幅に引き上げました。
ディフェンダーにとって、これは個々のマルウェアサンプルを超えた焦点を当てることを意味します。IPC アクティビティの動作分析、リーダーシップ選出パターン、段階的なファイルシステム操作、および低頻度の暗号化通信は、このような高度な脅威の識別に重要となります。
翻訳元: https://gbhackers.com/kazuar-malware-becomes-modular-spyware/
