セキュリティ実務者は、悪名高いTurla脅威集団が用いるツールであるKazuarローダーの進化版を特定した。このモジュール型インプラントは、システムファイルを改変することなくWindowsのセキュリティ機構を回避できるようにし、高度な制御フロー操作と、コンポーネント オブジェクト モデル(COM)フレームワークの広範な活用を用いる。これらの策は総合的に、秘匿性の高い永続化を確実にし、フォレンジック解析を大幅に困難にする。
感染シーケンスは、一見無害に見えるVBScriptファイルから始まる。このスクリプトはローカルのユーザーデータ格納領域内に入れ子のディレクトリを作成し、その後、リモートのコマンド&コントロール(C2)サーバーから5つの異なるコンポーネントを取得する。その中には正規のHewlett-Packard製プリンタードライバーインストーラーが含まれており、後にこれが悪用され、悪性ライブラリを実行するためのDLLサイドローディング手法が成立する。
さらに、このスクリプトはシステムレジストリを介して永続化を確立し、アクティブなプロセス、ハードウェアアーキテクチャ、ユーザー資格情報を含む包括的なテレメトリを収集したうえで、ESETにより以前から記録されている既知の悪性IPアドレスへこの情報を送出する。
中核となる悪性ロジックは、hpbprndiLOC.dllと名付けられたライブラリ内に隔離されており、正規のドライバーインストーラーと組み合わせたDLLサイドローディング技法によって呼び出される。このコンポーネントは、難読化コード、偽のAPI呼び出し、冗長な論理構造で強固に防御されている。さまざまなWindows関数を利用して、ハードウェアブレークポイントによりEvent Tracing for Windows(ETW)とAntimalware Scan Interface(AMSI)を無力化し、メモリ内コードの改変を必要とせずに防御の盾を回避する。同時に、このライブラリは制御リダイレクトのトリックを用い、コードの一部を2回実行させ、2回目のフェーズは単一関数の途中から開始される。
ローダーはさらに、WindowsのCOM基盤に自らを固定することで攻撃を拡大する。秘匿的なファイル操作を可能にするため、ADODB.Streamシステムコンポーネントの設定をグローバルレジストリからユーザー固有のハイブへ手動で複製する。必要なディレクトリを生成するためにShell Automation機構を利用し、活動を標準的なWindows Explorerの挙動に偽装する。
次の段階では、最終的なKazuarモジュールの導管となる.NETライブラリの復号と展開が行われる。このライブラリはCOMオブジェクトとして登録され、標準のCOM Callable Wrapper(CCW)を介してオペレーティングシステムと連携する。主要なKazuarコンポーネントであるKERNEL、WORKER、BRIDGEの3つは暗号化された状態で送信され、検知回避をさらに強化するため、分離されたdllhost.exeプロセスにロードされる。
-
KERNEL:タスク管理、キーロギング、設定処理を含む主要な悪性目的を実行する。
-
WORKER:セキュリティ ソフトウェアを精査し、特にKaspersky、Symantec、Microsoftのソリューションを標的とする。
-
BRIDGE:プラグインディレクトリに偽装された、正規だが侵害されたWordPressサイトを介してリモートサーバーとの通信を確立する。
3つのモジュールはいずれも、TurlaとGamaredon両グループの共同活動に帰属するとされる作戦と整合するエージェント識別子AGN-RR-01を使用する。この洗練されたKazuarローダーは、直接的なシステム改変を避け、Windows内部機構への深い統合を選ぶことで、高度な技術的巧緻さを体現している。多段階アーキテクチャと非侵襲的な防御回避により、侵害環境内で長期間にわたり検知されずに潜伏し続けることが可能となる。
