ロシアの国家系ハッカー集団「Secret Blizzard」が、長年運用してきたKazuarバックドアをモジュール型のP2P(ピアツーピア)ボットネットへと大幅に進化させたことが、Microsoftのセキュリティ研究チームによる解析で明らかになった。

KazuarとSecret Blizzardとは

Secret Blizzardは、Turla・Uroburos・Venomous Bearとも呼ばれるロシアの脅威アクターで、FSB(連邦保安局)との関与が指摘されている。政府機関・外交組織・防衛関連機関・重要インフラを主な標的とし、ヨーロッパ・アジア・ウクライナで活動記録がある。

Kazuarマルウェアは2017年に最初に文書化されたが、コードの系譜は2005年まで遡るとされる。2020年にはヨーロッパの政府機関への攻撃に、2023年にはウクライナへの攻撃に使用された実績がある。今回Microsoftが解析した最新バリアントは、その設計思想が根本から刷新されていた。

3モジュール構成——静粛性を追求した設計

新しいKazuarはカーネル(Kernel)・ブリッジ(Bridge)・ワーカー(Worker)の3つのモジュールで構成される。

カーネルモジュール(指揮官)

ボットネット全体の司令塔。タスク管理・他モジュールの制御・通信フローのオーケストレーションを担うほか、感染端末の中から「リーダー」を自律的に選出する。リーダー選出には稼働時間・再起動回数・割り込み回数が使われる。

リーダーとなった端末のみがC2(コマンド&コントロール)サーバーと通信し、他の感染端末は「サイレントモード」に移行してC2との直接通信を行わない。これにより複数の感染端末から大量の外部トラフィックが発生しないため、検知面を大幅に縮小できる

ブリッジモジュール(外部通信プロキシ)

カーネルリーダーとC2インフラの間の通信を中継する。使用プロトコルはHTTP・WebSockets・Exchange Web Services(EWS)で、正規の業務通信に紛れ込む設計だ。

内部通信にはIPC(プロセス間通信)——Windows Messaging・Mailslots・名前付きパイプ——を使い、通常の運用ノイズに溶け込む。通信内容はAESで暗号化され、Googleのシリアライゼーション形式であるProtobuf(Protocol Buffers)でシリアライズされる。

ワーカーモジュール(諜報実行部隊)

実際のスパイ活動を担うモジュール。主な機能は以下のとおり:

  • キーロギング(キー入力の記録)
  • スクリーンショット取得
  • ファイルシステムからのデータ収集
  • システム・ネットワークの偵察
  • メール・MAPIデータ収集(Outlookダウンロードを含む)
  • ウィンドウ監視・最近開いたファイルの窃取

収集データはローカルで暗号化・ステージングされ、ブリッジモジュール経由で外部に持ち出される。

150の設定オプションとセキュリティバイパス

Kazuarの新バリアントが特に危険なのは、150を超える設定オプションを持つ点だ。オペレーターはセキュリティバイパスの有効・無効切り替え・タスクスケジューリング・データ窃取のタイミングやチャンクサイズ・プロセスインジェクション等を細かく制御できる。

セキュリティバイパスとして実装されているのは以下の3つ:

  • AMSIバイパス(Antimalware Scan Interface:Windows標準のマルウェアスキャンAPI)
  • ETWバイパス(Event Tracing for Windows:Windowsのイベントトレースシステム)
  • WLDPバイパス(Windows Lockdown Policy:コード整合性ポリシー)

これら3つを組み合わせることで、Windowsの代表的な防御機構を回避した状態での長期潜伏が可能になる。

実務への影響——日本のIT管理者が今すぐやるべきこと

Secret Blizzardの主要ターゲットは政府機関・外交・防衛関連だが、そのTTPsは他の脅威アクターにも模倣される。特にモジュール型設計・P2P構造・サイレントノード化のアーキテクチャは、汎用化されれば民間企業も無関係とは言えない。

Microsoftが推奨しているのは「シグネチャベースではなく振る舞い検知を主軸にした防御」だ。Kazuarは設定オプションが150もあり、外見的な特徴を変えながら動作できるため、ハッシュやパターンに依存した検知では捕捉しにくい。

具体的な対策として以下を検討したい:

  • EDR製品の振る舞い検知ルールを最新に保つ:プロセスインジェクション・異常なIPC通信・名前付きパイプの不審使用を検知するルールを確認する
  • ETWとAMSIが無効化されていないかを定期的に監視する:これらが無力化されていること自体がインジケーターになりうる
  • EWSへの不審アクセスを監視する:Exchange Web Servicesを通じたC2通信はメールインフラを踏み台にするため、Exchange/Exchange Onlineの監査ログを活用する
  • ラテラルムーブメントの検知強化:P2Pボットネットの特性上、一台の侵害が横展開の起点になる。内部セグメント間の通信異常を監視する

筆者の見解

Kazuarの進化を見て改めて感じるのは、攻撃者側の「運用効率化」への執着だ。C2通信をリーダー1台に集約するアーキテクチャは、SOCチームが「大量のビーコン通信」というシグナルを頼りに検知する前提を崩す。これは技術的に素直に面白いと思う——倫理的には最悪だが。

日本の大エンタープライズが特に気をつけなければならないのは、「シグネチャベースの検知で止められる」という思い込みが根強く残っている点だ。長年使い慣れたアンチウイルス製品を信頼するのは理解できるが、AMSIとETWを両方バイパスされた状態ではそれらは機能しない。振る舞い検知に本格シフトするには追加投資が伴うが、今回のKazuarのような事例はその必要性を改めて示している。

Microsoftがこの解析を公開した点は評価したい。C2通信の内部構造からProtobufのシリアライゼーションの詳細まで踏み込んだ分析は、防御側にとって実用的なインジケーターを提供している。セキュリティ研究チームのこうした仕事が、製品の防御機能に反映されていくことを期待したい。

ゼロトラストの文脈で言えば、P2Pボットネットは「内部ネットワークを信頼する」古典的モデルの限界を突いている。感染端末同士がIPCで通信していても、それを「正常な内部通信」と判断してしまう環境は今なお多い。ネットワーク層だけでなく、エンドポイント上での振る舞いを継続的に評価する仕組みが、こういった脅威への本質的な対抗策になる。

出典: この記事は Russian hackers turn Kazuar backdoor into modular P2P botnet の内容をもとに、筆者の見解を加えて独自に執筆したものです。