ロシアのハッカーがKazuarのバックドアをモジュール式P2Pボットネットに変える

ロシアのハッカー グループ Secret Blizzard は、長年使用されているKazuar バックドアを、永続性、ステルス性、および長期的なデータ収集を目的として設計されたモジュール式ピアツーピア (P2P) ボットネットに開発しました。

Secret Blizzard の活動は Turla、Uroburos、Venomous Bear と重複しており、ロシア諜報機関 (FSB) と関係があり、ヨーロッパ、アジア、ウクライナ全域の政府機関や外交機関、防衛関連団体、重要システムを標的にしていることが知られています。

Katar マルウェアは 2017 年から文書化されており、研究者らはそのコード系統が 2005 年に遡ることを発見しました。その活動は FSB のために活動する Turla スパイ グループと関連しています。

2020 年、研究者らは、欧州政府組織に対する攻撃にこのツールが導入されていることを発見しました。 3年後、彼はウクライナに対する攻撃に派遣されたのが見られた。

「先頭の」ヒクイドリ

Microsoft の研究者は、Kazuar の最新バージョンを分析し、このマルウェアがコア、ブリッジ、ワーカーという 3 つの個別のモジュールを使用して動作していることを発見しました。

コア モジュールは、タスクの管理、他のモジュールの制御、リーダーの選出、ボットネット全体の通信とデータ フローの調整を行う中央コーディネーターです。

リーダーは基本的に、侵害された環境またはネットワーク セグメント内の 1 つの感染システムであり、コマンド アンド コントロール (C2) サーバーと通信し、タスクを受信して​​内部で他の感染システムに渡します。

非リード システムは「サイレント」モードになり、C2 と直接通信しません。これにより、ステルス性が向上し、検出面が減少します。

「コア リーダーは、他のコア モジュールに代わってブリッジ モジュールと通信する、選択された 1 つのコア モジュールであり、複数の感染したホストからの大量の外部トラフィックを回避することで可視性を低下させます」と Microsoft は説明します。

リーダーを選択するプロセスは内部的で自律的であり、稼働時間のカウント、再起動、中断を使用します。

Bridge モジュールは、HTTP、WebSocket、Exchange Web Services (EWS) などのプロトコルを使用して、選択されたコア リーダーとリモート C2 インフラストラクチャの間でトラフィックを転送する外部通信プロキシとして機能します。

内部通信は、Windows メッセージ、メール スロット、ネーム パイプなどの IPC (プロセス間通信) に依存しており、通常の動作ノイズとよく調和します。メッセージは AES 暗号化され、Google プロトコル バッファー (Protobuf) を使用してシリアルに送信されます。

Worker モジュールは、次のような実際のスパイ操作を実行します。

• 鍵の登録
• スクリーンショットのキャプチャ
• ファイルシステムからのデータの収集
• システムとネットワークのツアーを実行する
• 電子メール/MAPI データ収集 (Outlook のダウンロードを含む)
• 監視ウィンドウ
• 最近のファイルを盗む

収集されたデータは暗号化され、ローカルにステージングされ、後で Bridge モジュールを通過します。

MicrosoftはKazuarの多用途性を強調しており、オペレータは特定のセキュリティバイパスの有効化/無効化、タスクのスケジュール設定、データ盗難とリカバリチャンクのサイズのスケジュール設定、プロセスインジェクションの実行、タスクとコマンドの実行の管理などを行うことができる150の構成オプションをサポートしている。

セキュリティ バイパス オプションに関しては、Kazuar は現在、Anti-Malware Scanning Interface (AMSI) バイパス、Event Tracing for Windows (ETW) バイパス、および Windows Lockout Policy (WLDP) バイパスを提供しています。

Secret Blizzard は通常、情報収集のためにターゲット システムに長期的に存続することを求めます。この攻撃者は、政治的に重要な文書や電子メールの内容に侵入します。

マイクロソフトは、Kazuar のモジュール式で構成可能な性質により、この脅威は特にステルス性が高くなるため、企業は静的シグネチャではなく動作検出に防御を集中することを推奨しています。