ロシアの国家支援型脅威アクターであるシークレット・ブリザード(ターラおよびヴェノマス・ベアとも呼ばれる)は、カズアールマルウェアを大幅にアップグレードした。
最近の業界分析によると、カズアールは進化を遂げ、標準的なバックドアから高度でモジュール型のスパイフレームワークへと変貌を遂げた。
この新しいエコシステムは、検出を最小限に抑え、強靭な通信を維持し、世界中の外交・政府・防衛関連の標的に対して長期的な情報収集を支援することを目的として設計されている。
歴史的に、カズアールはロシア連邦保安庁(FSB)に帰属する高度なサイバースパイキャンペーンで使用されたモノリシックなツールであった。
現代の検出メカニズムを回避するため、脅威アクターたちはマルウェアのアーキテクチャそのものにステルス機能を組み込んだ。
カズアールは現在、感染したシステム上で機能するために3種類の主要なモジュールタイプで構成された協調エコシステムとして動作する。
マルウェアは通常、実行ファイルに暗号化されたペイロードを直接埋め込むペルメニのようなドロッパーや、ディスクの痕跡を減らすためにペイロードをメモリ上で実行する軽量な .NETローダーによって実行される形で配布される。
起動後、各モジュールは内部ルーティングにGoogleプロトコルバッファを使用し、名前付きパイプ、メールスロット、隠しWindowsメッセージングなどのメカニズムを介して通信する。
このエコシステムは、運用上の責務を分離しステルス性を維持するため、以下の3つの異なるモジュールに依存している:
カズアールにおける最も重要な運用上の変化は、マルウェアのネットワークフットプリントを大幅に削減するために設計された新しいリーダー選出モデルである。
感染したすべてのマシンが外部サーバーと通信するのではなく、システムの稼働時間などの安定性指標に基づいて、単一のカーネルモジュールがアクティブリーダーとして選出される。
このリーダーがブリッジモジュールを通じてすべての外部通信を処理すると、PolySwarmは述べている。
リーダーが確立されると、ネットワークの残りの部分は検出を回避し永続的なアクセスを維持するよう動作を適応させる。リーダー以外のカーネルインスタンスはサイレントモードに切り替わり、すべての直接的な外部通信を即座に停止する。
選出されたリーダーは、暗号化された名前付きパイプを使用してクライアントノードに内部的にタスクを割り当て、慎重な調整を可能にする。専用のステージングディレクトリを使用して運用状態を保持し、タスクファイル、キーロガーデータ、設定ファイルを分離することで、システムの再起動後も永続性を確保する。
さらに、ステージングされたファイルシステム操作により、マルウェアは非同期で機能し、常時外部通信への依存を低減している。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化されています(例:[.])。MISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻してください。
翻訳元: https://cyberpress.org/secret-blizzard-upgrades-kazuar/