Kaspersky、SolarWinds製品を悪用した攻撃と「Kazuar」バックドアに関連性を発見

2021/01/12  株式会社 カスペルスキー 


[本リリースは、2021年1月11日にKasperskyが発表したプレスリリースに基づき作成したものです]

---【概要】---
2020年12月にSolarWinds社の「Orion Platform」ソフトウェアを経由した、大規模で高度なサプライチェーン攻撃があったことが、FireEye、Microsoft、SolarWindsの3社から公表されています。
https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks/
このたび、Kasperskyのグローバル調査分析チーム(GReAT)※は、この攻撃で使用された新しい未知のマルウェア「Sunburst」と、既知のマルウェア「Kazuar」バックドアとの間に、複数の特定コードの類似性があることを発見しました。この新たな発見は、セキュリティ業界のリサーチャーが当攻撃の調査を進める上で役立つものと考えています。

--------------

GReATのリサーチャーたちがSunburstバックドアを解析する中で、Microsoft .NET Frameworkで記述された既知のバックドアKazuarと重複する多くの機能を発見しました。Kazuarは2017年にPalo Alto Networksが初めて報告したマルウェアで、世界中のサイバースパイ活動に使われていました。
https://unit42.paloaltonetworks.com/unit42-kazuar-multiplatform-espionage-backdoor-api-access/
SunburstとKazuarのコードには複数の類似点があり、詳細は明確でないものの、このことは二つのマルウェアに関連性があることを示唆しています。

SunburstとKazuarに共通する機能は、感染組織のUIDを生成するアルゴリズムやスリープタイムを計算するアルゴリズム、FNV-1aハッシュを用いて難読化を行うことなどが挙げられます。これらのコードは完全に同一ではないことから、GReATのリサーチャーはSunburstとKazuarが関連しているとみているものの、その詳細はまだ明らかにはなっていません。2020年2月にSunburstが初めて展開された後、Kazuarバックドアは変化し続けており、2020年後半の亜種は幾つかの点でさらにSunburstとの類似性がみられます。

GReATのリサーチャーは、Kazuarが変化した数年の間に、Sunburstとの類似点となった重要な機能を備えるようになったとみています。KazuarとSunburstの類似性は注目すべきことです。一方で、この二つのマルウェアの背景については多くの可能性が考えられます。例えば、SunburstはKazuarと同じ脅威グループが開発したのか、Sunburstの開発者がKazuarからひらめきを得たのか、Kazuarの開発者のうちの誰かがSunburstの脅威グループに参加したのか、あるいはSunburstとKazuarの背後にいる各脅威グループが、同じ開発者からマルウェアを入手したのか、などです。

Kaspersky GReATのディレクター、コスティン・ライウ(Costin Raiu)は、次のように述べています。「今回特定できた関連性からは、SolarWindsへの攻撃の背後に誰がいるのかは分かりません。しかし、世界中のリサーチャーたちが当件の調査を進めるためには役立つと思います。そして、リサーチャーたちがこれらの類似性をさらに調査し、KazuarとSunburstについて、より多くの事実を見つけることが重要だと考えています。これまでの経験では、例えばWannaCryによる攻撃が発生した初期には、このマルウェアをLazarusグループと関連づける事実はほとんどありませんでした。しかし、次第に多くの証拠が集まり、当社のみならず他社もその関連性を確信するに至りました。点と点を結びつけるためには、当件に関してさらに調査を進めることが不可欠です」

■ Sunburstに関する詳細は、Securelistブログ(英語)をご覧ください。
・今回発見した、SunburstとKazuarとの類似性についての技術的な詳細「Sunburst backdoor – code overlaps with Kazuar」
https://securelist.com/sunburst-backdoor-kazuar/99981/
・Sunburstバックドアに関する当社の調査の詳細「Sunburst:connecting the dots in the DNS requests」
https://securelist.com/sunburst-connecting-the-dots-in-the-dns-requests/99862/
・カスペルスキー製品がSunburstバックドアから組織を保護する方法について「How we protect our users against the Sunburst backdoor」
https://securelist.com/how-we-protect-against-sunburst-backdoor/99959/

■ Sunburstバックドアなどマルウェアへの感染リスクを回避するために、以下のような対策をお勧めします。
・社内のSOCチームが、最新の脅威インテリジェンスにアクセスできるようにする。:Kasperskyが20年以上にわたって収集してきた、サイバー攻撃に関するデータや知見などの脅威インテリジェンスを提供しています。
Kaspersky Threat Intelligence Portalは、疑わしいファイル、IPアドレス、URL、ハッシュ値などのオブジェクトについて無料でチェックすることができるポータルサイトです。
https://opentip.kaspersky.com/
・独自調査を希望される場合は、Kaspersky Threat Attribution Engineをご検討ください。
https://www.kaspersky.co.jp/enterprise-security/cyber-attack-attribution-tool
悪意のあるコードをマルウェアデータベースと照らし合わせて検証し、コードの類似性に基づいて関連する既知の高度サイバー攻撃(APT)を調べることができます。

※ Global Research and Analysis Team(GReAT、グレート)
GReATはKasperskyのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。


■ Kaspersky について
Kasperskyは、1997年に設立された世界的なサイバーセキュリティ企業です。Kasperskyが有する深く高度な脅威インテリジェンスと専門性は、常に当社の革新的なセキュリティソリューションやサービスに反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、4億人以上のユーザーを保護し、25万の企業や組織の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jp をご覧ください。




他の画像

関連業界