Kasperskyのグローバル調査分析チームは、新しい未知のマルウェア「Sunburst」と、既知のマルウェア「Kazuar」バックドアとの間に、複数の特定コードの類似性があることを発見しました。この新たな発見は、セキュリティ業界のリサーチャーが当攻撃の調査を進める上で役立つものと考えています。
[本リリースは、2021年1月11日にKasperskyが発表したプレスリリースに基づき作成したものです]
2020年12月にSolarWinds社の「Orion Platform」ソフトウェアを経由した、大規模で高度なサプライチェーン攻撃があったことが、FireEye、Microsoft、SolarWindsの3社から公表されています。このたび、Kasperskyのグローバル調査分析チーム(GReAT)※は、この攻撃で使用された新しい未知のマルウェア「Sunburst」と、既知のマルウェア「Kazuar」バックドアとの間に、複数の特定コードの類似性があることを発見しました。この新たな発見は、セキュリティ業界のリサーチャーが当攻撃の調査を進める上で役立つものと考えています。
GReATのリサーチャーたちがSunburstバックドアを解析する中で、Microsoft .NET Frameworkで記述された既知のバックドア「Kazuar」と重複する多くの機能を発見しました。Kazuarは2017年にPalo Alto Networksが初めて報告したマルウェアで、世界中のサイバースパイ活動に使われていました。SunburstとKazuarのコードには複数の類似点があり、詳細は明確でないものの、このことは二つのマルウェアに関連性があることを示唆しています。
SunburstとKazuarに共通する機能は、感染組織のUIDを生成するアルゴリズムやスリープタイムを計算するアルゴリズム、FNV-1aハッシュを用いて難読化を行うことなどが挙げられます。これらのコードは完全に同一ではないことから、GReATのリサーチャーはSunburstとKazuarが関連しているとみているものの、その詳細はまだ明らかにはなっていません。2020年2月にSunburstが初めて展開された後、Kazuarバックドアは変化し続けており、2020年後半の亜種は幾つかの点でさらにSunburstとの類似性がみられます。
GReATのリサーチャーは、Kazuarが変化した数年の間に、Sunburstとの類似点となった重要な機能を備えるようになったとみています。KazuarとSunburstの類似性は注目すべきことです。一方で、この二つのマルウェアの背景については多くの可能性が考えられます。例えば、SunburstはKazuarと同じ脅威グループが開発したのか、Sunburstの開発者がKazuarからひらめきを得たのか、Kazuarの開発者のうちの誰かがSunburstの脅威グループに参加したのか、あるいはSunburstとKazuarの背後にいる各脅威グループが、同じ開発者からマルウェアを入手したのか、などです。
Kaspersky GReATのディレクター、コスティン・ライウ(Costin Raiu)は、次のように述べています。「今回特定できた関連性からは、SolarWindsへの攻撃の背後に誰がいるのかは分かりません。しかし、世界中のリサーチャーたちが当件の調査を進めるためには役立つと思います。そして、リサーチャーたちがこれらの類似性をさらに調査し、KazuarとSunburstについて、より多くの事実を見つけることが重要だと考えています。これまでの経験では、例えばWannaCryによる攻撃が発生した初期には、このマルウェアをLazarusグループと関連づける事実はほとんどありませんでした。しかし、次第に多くの証拠が集まり、当社のみならず他社もその関連性を確信するに至りました。点と点を結びつけるためには、当件に関してさらに調査を進めることが不可欠です」
■ Sunburstに関する詳細は、Securelistブログ(英語)をご覧ください。
・今回発見した、SunburstとKazuarとの類似性についての技術的な詳細「Sunburst backdoor – code overlaps with Kazuar」
・Sunburstバックドアに関する当社の調査の詳細「 Sunburst:connecting the dots in the DNS requests」
・カスペルスキー製品がSunburstバックドアから組織を保護する方法について「How we protect our users against the Sunburst backdoor」
■ Sunburstバックドアなどマルウェアへの感染リスクを回避するために、以下のような対策をお勧めします。
・社内のSOCチームが、最新の脅威インテリジェンスにアクセスできるようにする。:Kasperskyが20年以上にわたって収集してきた、サイバー攻撃に関するデータや知見などの脅威インテリジェンスを提供しています。Kaspersky Threat Intelligence Portalは、疑わしいファイル、IPアドレス、URL、ハッシュ値などのオブジェクトについて無料でチェックすることができるポータルサイトです。
・独自調査を希望される場合は、 Kaspersky Threat Attribution Engineをご検討ください。悪意のあるコードをマルウェアデータベースと照らし合わせて検証し、コードの類似性に基づいて関連する既知の高度サイバー攻撃(APT)を調べることができます。
※ Global Research and Analysis Team(GReAT、グレート)
GReATはKasperskyのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。