カスペルスキー、SolarWinds製品を悪用した攻撃と「Kazuar」バックドアに関連性を発見
- 2021/01/13 10:00
- SecurityInsight
カスペルスキーは1月12日、同社のグローバル調査分析チーム(GReAT)が、SolarWinds社の「Orion Platform」ソフトウェアを経由したサプライチェーン攻撃で使用された新しい未知のマルウェア「Sunburst」と、既知のマルウェア「Kazuar」バックドアとの間に、複数の特定コードの類似性があることを発見したと発表した。その概要は以下のとおり。
Kazuarは2017年にPalo Alto Networksが初めて報告したマルウェアで、世界中のサイバースパイ活動に使われていた。SunburstとKazuarのコードには複数の類似点があり、詳細は明確でないものの、このことは二つのマルウェアに関連性があることを示唆している。
SunburstとKazuarに共通する機能は、感染組織のUIDを生成するアルゴリズムやスリープタイムを計算するアルゴリズム、FNV-1aハッシュを用いて難読化を行なうことなどが挙げられる。これらのコードは完全に同一ではないことから、GReATのリサーチャーはSunburstとKazuarが関連しているとみているものの、その詳細はまだ明らかにはなっていない。2020年2月にSunburstが初めて展開された後、Kazuarバックドアは変化し続けており、2020年後半の亜種はいくつかの点でさらにSunburstとの類似性がみられる。