Palo Alto Networksによると、Kazuarバックドアの最新バージョンは、これまで想定されていた以上に高度である可能性があるという。
ウクライナのコンピュータ緊急対応チーム(CERT-UA)は、ロシアのハッキンググループTurlaが2023年7月にウクライナの防衛部門を標的にするためKazuarバックドアを使用したと報告した。
Palo Altoの脅威インテリジェンスチームであるUnit 42の研究者は、Turlaが第2段階のペイロードとして使用し、他のツールとともに配布される.NETバックドアであるKazuarの最新亜種に、これまで文書化されていなかった機能を発見した。
2023年10月31日に公開されたレポートで詳細に分析されている注目すべき機能には、次のものが含まれる。
- 検知回避機能:堅牢なコードおよび文字列の難読化技術、性能向上のためのマルチスレッドモデル、そしてKazuarのコードを解析から保護し、メモリ上・送信中・ディスク上のいずれにおいてもデータを隠蔽するために実装された複数の暗号化方式
- 解析妨害機能
- 広範なシステムプロファイリング機能
- クラウドアプリケーションを特定して狙う機能
このバージョンのKazuarは40種類以上の異なるコマンドもサポートしており、そのうち半数はこれまで文書化されていなかった。
これらの新機能は、Kazuarのコード構造と機能性に大幅な改善が加えられたことを示している。
「アップグレードされた改訂版Kazuarのコードが示すとおり、(Unit 42の)作者は、Kazuarがステルスで動作し、検知を回避し、解析の試みを阻止する能力に特に重点を置いた」と、レポートには記されている。
Kazuarバックドアとは?
Kazuarは、ロシアのハッキンググループTurlaによって開発・維持されている.NETバックドアである。Unit 42により2017年に初めて発見された。
一般にSolarWindsハックと呼ばれる事案で2019年および2020年に使用されたSunburstバックドアは、コードの類似性によりKazuarと関連付けられている。これは、その複雑さのレベルを示している。
発見以来、Kazuarが実環境で観測されたのはごく少数回にとどまり、主に欧州の政府および軍事部門の組織を標的としていた。
ウクライナでの戦争勃発前、KazuarがUnit 42の研究者によって最後に観測されたのは2020年末だった。しかし、このバックドアが継続的に開発されていることを示唆する報告もあった。
2023年7月、CERT-UAは、ウクライナの防衛部門を標的とする多段階キャンペーンの一部として、まったく新しいバージョンのKazuarが使用されたと報告した。Kazuarは、新たな第1段階バックドアであるCapibarなど、他のツールと併用されていた。
この亜種の背後にいる脅威グループは、Signalのメッセージ、ソース管理、クラウドプラットフォームのデータなどに見られる機微な資産を狙っていた。
Turlaとは誰か?
Turlaは、Pensive Ursa、Uroboros、Venomous Bear、Waterbug、UNC4210としても知られ、少なくとも2004年以降、諜報および情報収集を目的として活動している、ロシア拠点の高度に洗練された高度持続的脅威(APT)グループである。
同グループはロシア連邦保安庁(FSB)と関連付けられている。
Turlaは、ハイテク、製薬、政府、小売など複数の分野にまたがるさまざまな被害者に対して、サイバー諜報キャンペーンを実施してきた長い歴史を持つ。
同グループは、カスタムバックドア、ルートキット、キーロガーなど、高度なマルウェアや手法を用いることで知られている。Turlaはまた、被害者ネットワークへの長期的なアクセスを維持する能力でも知られており、しばしば何年にもわたってアクセスを保つ。
近年、Turlaは米国務省、米国エネルギー省、フランス外務省を標的とするなど、複数の注目度の高いサイバー攻撃に関与してきた。また、2016年の民主党全国委員会(DNC)へのハッキングにも関連付けられている。
翻訳元: https://www.infosecurity-magazine.com/news/palo-alto-features-russian-turla/
