Kaspersky、SolarWinds製品を悪用した攻撃と「Kazuar」バックドアに関連性を発見
PR TIMES / 2021年1月12日 15時15分
[本リリースは、2021年1月11日にKasperskyが発表したプレスリリースに基づき作成したものです]
---【概要】---
2020年12月にSolarWinds社の「Orion Platform」ソフトウェアを経由した、大規模で高度なサプライチェーン攻撃があったことが、FireEye、Microsoft、SolarWindsの3社から公表されています。
https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks/
このたび、Kasperskyのグローバル調査分析チーム(GReAT)※は、この攻撃で使用された新しい未知のマルウェア「Sunburst」と、既知のマルウェア「Kazuar」バックドアとの間に、複数の特定コードの類似性があることを発見しました。この新たな発見は、セキュリティ業界のリサーチャーが当攻撃の調査を進める上で役立つものと考えています。
--------------
GReATのリサーチャーたちがSunburstバックドアを解析する中で、Microsoft .NET Frameworkで記述された既知のバックドアKazuarと重複する多くの機能を発見しました。Kazuarは2017年にPalo Alto Networksが初めて報告したマルウェアで、世界中のサイバースパイ活動に使われていました。
https://unit42.paloaltonetworks.com/unit42-kazuar-multiplatform-espionage-backdoor-api-access/
SunburstとKazuarのコードには複数の類似点があり、詳細は明確でないものの、このことは二つのマルウェアに関連性があることを示唆しています。
SunburstとKazuarに共通する機能は、感染組織のUIDを生成するアルゴリズムやスリープタイムを計算するアルゴリズム、FNV-1aハッシュを用いて難読化を行うことなどが挙げられます。これらのコードは完全に同一ではないことから、GReATのリサーチャーはSunburstとKazuarが関連しているとみているものの、その詳細はまだ明らかにはなっていません。2020年2月にSunburstが初めて展開された後、Kazuarバックドアは変化し続けており、2020年後半の亜種は幾つかの点でさらにSunburstとの類似性がみられます。
GReATのリサーチャーは、Kazuarが変化した数年の間に、Sunburstとの類似点となった重要な機能を備えるようになったとみています。KazuarとSunburstの類似性は注目すべきことです。一方で、この二つのマルウェアの背景については多くの可能性が考えられます。例えば、SunburstはKazuarと同じ脅威グループが開発したのか、Sunburstの開発者がKazuarからひらめきを得たのか、Kazuarの開発者のうちの誰かがSunburstの脅威グループに参加したのか、あるいはSunburstとKazuarの背後にいる各脅威グループが、同じ開発者からマルウェアを入手したのか、などです。
Kaspersky GReATのディレクター、コスティン・ライウ(Costin Raiu)は、次のように述べています。「今回特定できた関連性からは、SolarWindsへの攻撃の背後に誰がいるのかは分かりません。しかし、世界中のリサーチャーたちが当件の調査を進めるためには役立つと思います。そして、リサーチャーたちがこれらの類似性をさらに調査し、KazuarとSunburstについて、より多くの事実を見つけることが重要だと考えています。これまでの経験では、例えばWannaCryによる攻撃が発生した初期には、このマルウェアをLazarusグループと関連づける事実はほとんどありませんでした。しかし、次第に多くの証拠が集まり、当社のみならず他社もその関連性を確信するに至りました。点と点を結びつけるためには、当件に関してさらに調査を進めることが不可欠です」
■ Sunburstに関する詳細は、Securelistブログ(英語)をご覧ください。
・今回発見した、SunburstとKazuarとの類似性についての技術的な詳細「Sunburst backdoor – code overlaps with Kazuar」
https://securelist.com/sunburst-backdoor-kazuar/99981/
・Sunburstバックドアに関する当社の調査の詳細「Sunburst:connecting the dots in the DNS requests」
https://securelist.com/sunburst-connecting-the-dots-in-the-dns-requests/99862/
・カスペルスキー製品がSunburstバックドアから組織を保護する方法について「How we protect our users against the Sunburst backdoor」
https://securelist.com/how-we-protect-against-sunburst-backdoor/99959/
■ Sunburstバックドアなどマルウェアへの感染リスクを回避するために、以下のような対策をお勧めします。
・社内のSOCチームが、最新の脅威インテリジェンスにアクセスできるようにする。:Kasperskyが20年以上にわたって収集してきた、サイバー攻撃に関するデータや知見などの脅威インテリジェンスを提供しています。
Kaspersky Threat Intelligence Portalは、疑わしいファイル、IPアドレス、URL、ハッシュ値などのオブジェクトについて無料でチェックすることができるポータルサイトです。
https://opentip.kaspersky.com/
・独自調査を希望される場合は、Kaspersky Threat Attribution Engineをご検討ください。
https://www.kaspersky.co.jp/enterprise-security/cyber-attack-attribution-tool
悪意のあるコードをマルウェアデータベースと照らし合わせて検証し、コードの類似性に基づいて関連する既知の高度サイバー攻撃(APT)を調べることができます。
※ Global Research and Analysis Team(GReAT、グレート)
GReATはKasperskyのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
■ Kaspersky について
Kasperskyは、1997年に設立された世界的なサイバーセキュリティ企業です。Kasperskyが有する深く高度な脅威インテリジェンスと専門性は、常に当社の革新的なセキュリティソリューションやサービスに反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、4億人以上のユーザーを保護し、25万の企業や組織の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jp をご覧ください。
[画像: https://prtimes.jp/i/11471/226/resize/d11471-226-513331-0.jpg ]
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
ハクティビストグループがロシア国内の組織に破壊的なサイバー攻撃
マイナビニュース / 2024年9月25日 17時54分
-
チェック・ポイント・リサーチ、イラク政府を標的とした巧妙なサイバー攻撃を発見 検出されたマルウェアにイランとの関連を確認
PR TIMES / 2024年9月25日 13時40分
-
APT攻撃グループ「Tropic Trooper」が、新たなサイバースパイ活動を中東で展開
PR TIMES / 2024年9月18日 16時45分
-
Kaspersky、台頭するランサムウェア「Mallox」を調査:独自運用から「サービスとしてのランサムウェア」へ変化
PR TIMES / 2024年9月11日 15時40分
-
<Kasperskyサイバー脅威レポート: 2024年第2四半期は、脆弱性を持つドライバーを使用しWindowsを狙う攻撃が23%増加したことを確認>
PR TIMES / 2024年8月30日 16時40分
ランキング
-
1ついに動いた!任天堂vs.パルワールド訴訟の焦点 ポケモンに酷似?協業するソニーの出方は
東洋経済オンライン / 2024年9月25日 8時0分
-
2テレワーク継続で「社員に優しくしたのに」不満がなくならない……企業が見落としているコト
ITmedia ビジネスオンライン / 2024年9月25日 10時10分
-
3世代ですれ違う社会人用語 3位「鉛筆なめなめ」、2位「よしなに」、1位は?
ITmedia ビジネスオンライン / 2024年9月25日 17時15分
-
4百貨店売上高3.9%増=コメ値上がりでスーパーも増―8月
時事通信 / 2024年9月25日 16時42分
-
5野村証券が国債取引で相場操縦の疑い、課徴金2176万円を科すよう金融庁に監視委勧告
読売新聞 / 2024年9月25日 20時2分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください