サイバースパイグループTurlaは、既知のバックドア「Kazuar」をアップデートし、ピアツーピアアーキテクチャを備えたモジュール型ボットネットへと変貌させました。この進化により、中央制御サーバーへの依存がなくなり、感染したシステム同士が分散型で通信できるようになりました。この変更により、マルウェアの検出と除去が困難になり、高度なセキュリティ環境において顕著な回復力を獲得しています。
交換可能なモジュールと中央サーバー不要のラテラルムーブメント 🛡️
Kazuarの新バージョンは、その場でコンポーネントを交換できるモジュール設計を採用しています。各モジュールは、認証情報の収集、ドキュメントの窃取、侵害されたネットワーク内でのラテラルムーブメントなど、特定の機能を拡張します。単一障害点なしで動作するため、ボットネットの無力化はより困難になります。研究者らは、このP2Pアーキテクチャが、重要インフラへの持続的なアクセスを維持するための重要な戦術的飛躍を表していると指摘しています。
Turla、ご近所付き合いを始める:今や各PCが自分自身のボスに 😈
Turlaはソーシャルネットワークからヒントを得て、それをマルウェアに応用することにしたようです。以前のKazuarが命令を受けるために中央サーバーを必要としていたのに対し、今では感染した各PCが、まるで前払いされた遺産を受け取ったティーンエイジャーのように、自分自身のボスです。分散化は非常に現代的に聞こえますが、セキュリティ管理者にとっては、一人のリーダーを追跡するのではなく、まるでトレーディングカードのようにファイルをやり取りする、自律的なエージェントの群集を追跡しなければならないことを意味します。