Turla の Kazuar バックドア:新たな機能群を Palo Alto Unit 42 が分析

Palo Alto Reveals New Features in Russian APT Turla’s Kazuar Backdoor

2023/11/01 InfoSecurity — Palo Alto Networks によると、Kazuar バックドアの最新バージョンは、これまで想像されていた以上に狡猾な可能性があるという。Kazuar バックドアとは、ロシアのハッキング・グループ Turla により、2023年7月にウクライナの防衛セクターを標的に使用されたものだと、ウクライナの CERT-UA (Ukrainian Computer Emergency and Response Team) が報告している。Palo Alto Unit 42 の研究者たちは、Kazuarの最新の亜種である .NET バックドアにおいて、これまで文書化されていなかった機能を発見した。


2023年10月31日に発表されたレポートで、注目すべき機能が詳細に分析されているが、その内容は以下のようなものとなる:

  • 検知防止機能:堅牢なコードと文字列の難読化技術/パフォーマンス向上のためのマルチスレッド・モデル/Kazuar に対するコードを解析からの保護/暗号化スキームによるメモリ上・送信中・ディスク上のデータの保護。
  • 解析防止機能
  • 広範なシステム・プロファイリング機能。
  • クラウド・アプリケーションに特化したターゲティング。

このバージョンの Kazuar は、40種類以上のコマンドをサポートしている。また、これらの新機能は、Kazuar のコード構造を大幅に向上させている。

Unit 42 のレポートには、「アップグレードされた Kazuar リビジョンのコードが明らかにしているのは、Kazuar がステルス性を持って動作し、検出を回避し、分析を妨害する能力を重視している点だ」と記されている。

Kazuar バックドアとは何か?

Kazuar は、ロシアのハッキング・グループ Turla により開発/保守されている、.NET を標的とするバックドアである。そして、2017年に Unit 42 により発見されている。

2019年〜2020年にかけて、SolarWinds ハッキング・インシデントで使用された Sunburst バックドアは、そのコードの類似性により Kazuar と結びつけられており、また、高レベルの複雑さを示している。

Kazuar が発見された以降において、野放し状態での活動が観測されたの僅かであり、そこでは、主にヨーロッパの政府機関や軍事分野の組織が標的とされていた。

ウクライナで戦争が勃発する前の 2020年後半に、Kazuar は Unit 42 の研究者たちにより観測されていた。その一方で、このバックドアは常に開発中であることも報告されている。

2023年7月に CERT-UA は、ウクライナの防衛部門を標的とした多段階のキャンペーンで、Kazuar の最新バージョンが使用されたことを報告している。Kazuar は、新たな Capibar 第一段階バックドアなどのツールと共に使用されていた。

この亜種の背後にいる脅威グループは、Signal/ソース管理/クラウドなどで処理される、機密資産を狙っている。

Turla とは何者か?

Pensive Ursa/Uroboros/Venomous Bear/Waterbug/UNC4210 などの名前でも追跡されている Turla は、ロシアを拠点とする高度に洗練された APT グループであり、遅くとも 2004年以降において、スパイ活動や情報収集を目的に活動している。そして、このグループは、ロシア連邦保安庁 (FSB) とつながっている。

Turla の標的は、ハイテク/製薬/政府/小売など複数のセクターにまたがり、そこでサイバー・スパイキャン・ペーンを展開するという、長い歴史を持っている。

このグループが用いるテクニックは、カスタムバックドア/ルートキット/キーロガーなどのマルウェアなどであり、被害者のネットワークへのアクセスを、長期にわたって維持する能力でも知られている。

近年において Turla は、米国国務省/米国エネルギー省/フランス外務省を標的としたサイバー攻撃を展開し、また、注目を集めるサイバー攻撃にも関与している。同グループは、2016年に発生した米国の民主党全国委員会のハッキングにも関与している。

ロシアの APT である Turla ですが、この記事を読む限りでは、FSB とつながっているエースクラスという感じですね。今年に入ってからも、何度か記事を見つけており、このブログにも拾っています。よろしければ、Turla で検索も、ご利用ください。