Kazuar

研究者らは、Kazuar と呼ばれるバックドア型トロイの木馬を発見しました。 Katar はスパイ活動に関連していることが判明しており、Microsoft .NET Framework で作成されているようです。 Katar を使用すると、攻撃者は侵害されたシステムに完全にアクセスできるようになります。

Katar には、プラグインをリモートでロードする機能など、いくつかの潜在的な機能とコマンドがあります。これらのプラグインは、トロイの木馬に優れた機能を提供し、より脅威を高めます。観察された株には、Kazuar の Linux バージョンと Mac バージョンが世界中に存在することを示唆するコードもありました。 Katar で際立っている点の 1 つは、Web サーバーに接続されたアプリケーション プログラミング インターフェイス (API) を通じて動作するということであり、そのような方法で動作する最初で唯一のウイルスである可能性があります。

カズアールの背後にいるのは誰ですか？

研究者らは、Kazuar がSnakeおよびUroburosという名前で活動することでも知られる APT (Advanced Persistent Threat) グループであるTurlaに関連していると考えています。 Turla は、その高度な機能と、ロシア連邦保安庁 (FSB) との関係が疑われるロシアを拠点とする長年のサイバー脅威グループとして知られています。このグループは大使館、教育機関、防衛請負業者、研究機関を攻撃のターゲットにしています。 Turla のコードには、ツールが自社のものであることを示す署名のようなものがあり、Kazuar に使用されたコードは少なくとも 2005 年まで遡ることができます。

Turla はこれまでに数多くのツールを使用してきましたが、そのほとんどは侵害された環境内での攻撃の第 2 段階で導入されています。カズアルは、Turla グループが業務を処理する新しい方法の 1 つになる可能性があります。

カズアールは何をしますか?

Katar はバックドア型トロイの木馬であり、デジタル脅威の最大のカテゴリの 1 つです。バックドア トロイの木馬は、さまざまな機能を備えた高価で包括的なプログラムである場合もあれば、サーバーに ping を送信するだけの単純なプログラムである場合もあります。特に、東南アジアに生息するヒクイドリの鳥にちなんで名付けられた「Kazuar」は、どちらかというと伝統的なバックドア型トロイの木馬です。 Katar は比較的基本的なものですが、 PowerStallionやNeuronなどの典型的なバックドア トロイの木馬よりも脅威となる隠れた機能がいくつかあります。

Turla ハッカーがターゲットから情報を収集する中、Kazuar は検出を回避しようとします。 Katar は .NET Framework アプリケーションですが、Mac および Unix/Linux システムと互換性を持たせる機能も備えています。ただし、これまでのところ、Windows の亜種のみが実際に発見されています。

Katar のコードを見れば、このウイルスにどれだけの労力が費やされたかがわかります。 Katar には強化されたセットアップ ルーチンがあり、さまざまな方法で永続性を確立することで脆弱なコンピューターに適応できます。このウイルスは DLL を作成し、Windows サービスと .NET Framework 機能を悪用してコンピュータ上に留まります。ウイルスが起動して実行されると、攻撃者に標的のコンピュータに関する情報が与えられ、制御が可能になります。攻撃者は、オプションのモジュールを使用して、ファイルのアップロード、スクリーンショットの撮影、Web カメラのアクティブ化、データのコピー、実行可能ファイルの起動、その他のタスクを実行できます。

API 機能に注目してください。このようなウイルスは主にコマンド アンド コントロール サーバー (C2 サーバー) に接続し、指示を待ちます。 Katar は、ウイルスがファイアウォールやマルウェア対策の検出を回避できるようにする、常時リッスンする Web サーバーを作成できる点で際立っています。

カズアールはどのようにしてコンピュータに感染するのでしょうか?

Katar マルウェアは、いくつかの異なる方法でコンピューターに感染します。最も一般的なのは、悪意のあるソフトウェア バンドル、電子メール スパム、ネットワーク共有、悪意のあるリンク、感染したフラッシュ ドライブへのアクセスです。 Katar がコンピュータに侵入すると、確実に多大な損害を引き起こすことになります。

被害者らは、ハードドライブの障害、頻繁なクラッシュ、破損したアプリケーションなどに対処しなければならないと報告しています。経済的損失や個人情報の盗難といった実際の被害については言うまでもありません。カズアールから身を守り、感染をできるだけ早く取り除くための措置を講じる必要があります。

標的のデバイスに感染すると、Kazuar マルウェアは感染したホストのソフトウェアとハードウェアに関する情報を収集します。さらに、Kazuar 脅威は、ハードディスクのシリアル ID とアクティブ ユーザーのユーザー名に基づいて一意のミューテックスを生成します。攻撃のこのステップでは、感染したコンピューター上で 2 つの亜種の Katar マルウェアが実行されているかどうかを検出します。これが完了すると、Kazuar マルウェアはホスト上で永続性を獲得して攻撃を続行します。これは、システムの Windows レジストリを変更することで実現されます。次に、Kazuar マルウェアはオペレーターの C&C (コマンド & コントロール) サーバーに接続し、オペレーターからコマンドが与えられるのを待ちます。 Katar マルウェアの主な機能は次のとおりです。

• ユーザーのアクティブなウィンドウとデスクトップのスクリーンショットを撮る。
• ファイルをダウンロードしています。
• ファイルをアップロードしています。
• システムのカメラを介して映像を録画します。
• 実行中のプロセスを管理します。
• リモートコマンドを実行します。
• 脅威のアクティブなプラグインのリストと管理。
• それ自体とその C&C サーバーのリストを更新します。

• 自滅的。

この長い機能リストにより、Kazuar マルウェアは侵入を管理しているシステムに重大な損害を与えることができます。 Katar 脅威の作成者は、このマルウェアの OSX 互換版を開発している可能性が高いため、さらに多くのユーザーが危険にさらされることになります。 Katar 脅威のような害虫からシステムを保護するには、サイバーセキュリティを確保し、データを安全に保つ正規のマルウェア対策ソフトウェア スイートを必ずダウンロードしてインストールしてください。

Turla、ウクライナの標的に対して新しいKazuar亜種を配備

2017 年に最初に検出されて以来、Kazuar は散発的に出現し、主にヨーロッパの政府および軍事分野内の組織に影響を与えています。コードの類似性から明らかなように、 Sunburstバックドアとの関連性は、その洗練された性質を強調しています。 2020年後半以降、新しいKazuarサンプルは出現していませんが、水面下で進行中の開発努力が報告されています。

更新されたKazuarコードの分析は、そのステルス機能を強化し、検出メカニズムを回避し、分析の試みを阻止するための作成者による協調的な取り組みを浮き彫りにしました。これは、マルウェア コードの整合性を保護するための強力な暗号化および難読化技術と組み合わせた、一連の高度な分析防止手法によって実現されます。

新しいKazuarマルウェア亜種の中核機能

Turla の典型的なやり方で、Kazuar はハイジャックされた正規の Web サイトをコマンド アンド コントロール (C2) インフラストラクチャに利用して、削除を回避する戦略を採用しています。さらに、Kazuar は名前付きパイプを介した通信を容易にし、両方の方法を利用してリモート コマンドやタスクを受信します。

Katar は、C2 フレームワーク内で 45 の異なるタスクのサポートを誇っており、以前のバージョンと比較して機能が著しく進歩しています。以前の研究では、これらのタスクの一部は文書化されていませんでした。対照的に、2017年に分析されたKazuarの初期亜種は26個のC2コマンドのみをサポートしていました。

Katar の認識されるコマンドのリストは、次のようなさまざまなカテゴリに及びます。

• ホストデータ収集
• 拡張フォレンジックデータ収集
• ファイル操作
• 任意のコマンドの実行
• Katar の構成設定を操作する
• Windows レジストリのクエリと操作

• スクリプトの実行 (VBS、PowerShell、JavaScript)

• カスタムネットワークリクエストの送信

• 認証情報と機密情報の盗難

データ盗難は依然として Turla の最優先事項の 1 つです

Katar は、コマンド アンド コントロール (C2) サーバーから受信した「盗む」または「無人」などのコマンドをトリガーとして、侵害されたコンピューター内のさまざまなアーティファクトから資格情報を収集する機能を備えています。これらのアーティファクトには、多数のよく知られたクラウド アプリケーションが含まれています。

さらに、Kazuar は、これらのアプリケーションに関連付けられた資格情報を含む機密ファイルをターゲットにする可能性があります。標的となるアーティファクトの中には、Git SCM (開発者の間で人気のあるソース管理システム) や Signal (プライベート通信用の暗号化メッセージング プラットフォーム) があります。

独自のソルバー スレッドを生成すると、Kazuar は、作成者によって「first_systeminfo_do」と呼ばれる広範なシステム プロファイリング タスクを自動的に開始します。このタスクには、対象となるシステムの徹底的な収集とプロファイリングが伴います。 Katar は、オペレーティング システム、ハードウェア仕様、ネットワーク構成の詳細を含む、感染したマシンに関する包括的な情報を収集します。

収集されたデータは「info.txt」ファイルに保存され、実行ログは「logs.txt」ファイルに保存されます。さらに、このタスクの一環として、マルウェアはユーザーの画面のスクリーンショットをキャプチャします。収集されたすべてのファイルは単一のアーカイブにバンドルされ、暗号化されて C2 に送信されます。

Katar は感染したデバイス上で複数の自動タスクを確立します

Katar は、侵害されたシステムからデータを取得する目的で、事前定義された間隔で実行される自動手順を確立する機能を備えています。これらの自動化されたタスクには、包括的なシステム プロファイリングのセクションで詳述されている包括的なシステム情報の収集、スクリーンショットのキャプチャ、資格情報の抽出、フォレンジック データの取得、自動実行データの取得、指定されたフォルダーからのファイルの取得、ファイルのリストの作成など、さまざまな機能が含まれます。 LNK ファイル、および MAPI を使用した電子メールの窃盗。

これらの機能により、Kazuar は体系的な監視と感染したマシンからのデータ抽出を実行できるようになり、悪意のある攻撃者が大量の機密情報を入手できるようになります。これらの自動化されたタスクを活用することで、Kazuar は偵察とデータ漏洩のプロセスを合理化し、サイバースパイ活動や悪意のある活動のツールとしての有効性を高めます。

更新されたKazuarマルウェアには広範な分析防止機能が装備されています

Katar は、検出と精査を回避するために細心の注意を払って設計された、さまざまな高度な分析防止技術を採用しています。作成者によってプログラムされたKazuarは、分析アクティビティの存在に基づいて動作を動的に調整します。分析が進行中でないと判断した場合、Kazuar は操作を続行します。ただし、デバッグまたは分析の兆候を検出すると、ただちにアイドル状態になり、コマンド アンド コントロール (C2) サーバーとの通信がすべて停止されます。

アンチダンピング

Katar が自律的なエンティティとしてではなく、別のプロセス内に挿入されたコンポーネントとして動作することを考えると、そのコードをホスト プロセスのメモリから抽出する可能性が見えてきます。この脆弱性に対処するために、Kazuar は .NET 内の堅牢な機能である System.Reflection 名前空間を巧みに利用しています。この機能により、Kazuar はアセンブリ、動的メソッド、その他の重要な要素に関連するメタデータをリアルタイムで取得する機敏性を実現し、潜在的なコード抽出の試みに対する防御を強化します。

さらに、Kazuar は、antidump_methods 設定が有効になっているかどうかを精査することで防御策を実装します。このような場合、汎用の .NET メソッドを無視して、カスタム メソッドへのポインタをオーバーライドし、それらのメソッドをメモリから事実上消去します。カズアールのログに記録されたメッセージからわかるように、この積極的なアプローチは、研究者がマルウェアの完全なバージョンを抽出するのを妨げ、それによって分析と検出に対するマルウェアの回復力を強化します。

ハニーポットチェック

初期タスクの中で、Kazuar はターゲット マシン上のハニーポット アーティファクトの兆候を熱心にスキャンします。これを実現するために、ハードコーディングされたアプローチを使用して、プロセス名とファイル名の事前定義されたリストを参照します。 Katar は、これらの指定されたファイルまたはプロセスのインスタンスを 5 つ以上検出した場合、ハニーポットの存在を示すものとして直ちに検出を記録します。

分析ツールのチェック

Katar は、広く使用されているさまざまな分析ツールを表す事前定義された名前のリストを管理します。システム上のアクティブなプロセスに対して名簿を体系的にレビューします。これらのツールのいずれかの操作を検出すると、Kazuar はその結果をすぐに登録し、分析ツールの存在を示します。

サンドボックスチェック

Katar は、システムにハードコードされた一連の事前定義されたサンドボックス ライブラリを所有しています。スキャンを実行して、さまざまなサンドボックス サービスに関連付けられた特定の DLL を識別します。これらのファイルに遭遇すると、Kazuar は実験室環境内で実行されていると結論付け、動作を停止するよう促します。

イベントログモニター

Katar は、Windows イベント ログに記録されたイベントを体系的に収集し、解釈します。これは、特定のマルウェア対策ベンダーやセキュリティ ベンダーから発生したイベントを特にターゲットにしています。この意図的な焦点は、広く使用されているセキュリティ製品が潜在的なターゲットの間で蔓延しているというもっともらしい仮定の下で、これらの製品に関連する活動を監視するという同社の戦略と一致しています。

マルウェア「Kazuar」は引き続きデジタル空間における大きな脅威となる

最近実際に存在することが確認された、Kazuar マルウェアの最新の亜種には、いくつかの注目すべき特性が示されています。パフォーマンスを向上させるために、マルチスレッド モデルとともに堅牢なコードと文字列難読化技術が組み込まれています。さらに、Kazuar のコードを分析から保護し、メモリ内、送信中、ディスク上を問わず、そのデータを隠すために、さまざまな暗号化スキームが実装されています。これらの機能は集合的に、Kazuar バックドアに高いレベルのステルス性を与えることを目的としています。

さらに、このマルウェアの反復は、高度な分析防止機能と広範なシステム プロファイリング機能を示します。クラウド アプリケーションを具体的にターゲットにしていることは注目に値します。さらに、Kazuar のこのバージョンは、40 を超えるさまざまなコマンドの広範なサポートを誇っており、そのうちの半分はサイバーセキュリティ研究者によってこれまで文書化されていませんでした。

カズアールから身を守る方法

あらゆる種類の脅威と同様、コンピュータを保護するためにできる主な対策は、電子メールの添付ファイルやリンクを開かないようにすることです。送信元がわからない場合は、メールを操作しないでください。また、最も重要なデータは定期的にバックアップしてください。バックアップが多ければ多いほど、Kazuar や別のマルウェアが発生した場合に正常に戻る可能性が高くなるため、複数のバックアップを作成することも役立ちます。

最後になりましたが、すべてのプログラムとアプリケーションが最新であることを確認する必要があります。オペレーティング システムを定期的に更新することを忘れないでください。コンピューターの脅威は、オペレーティング システムやソフトウェアの悪用を通じて増殖するため、長引かせないようにしてください。