Turla Advanced Persistent Threat Actor の詳細
サイバーセキュリティの分野では、持続的かつ進化する脅威の状況が世界中の防御者に絶えず挑戦を与えています。無数の敵の中でも、その洗練さ、執拗さ、とらえどころのない性質により大きな注目を集めているグループが、ウォーターバグ、毒クマ、またはウロボロスとしても知られるトゥルラです。
Table of Contents
起源と進化
Turla のルーツは 2000 年代初頭に遡り、主に政府、軍事機関、大使館、研究機関をターゲットとするサイバー スパイ集団として出現しました。当初、Turla は戦略的優位性を得るために機密情報を抜き出すことに重点を置いていました。しかし、時間の経過とともに、その戦術、技術、および手順 (TTP) は進化し、防御手段に対する驚くべき適応性と回復力を示しました。
初期の作戦と戦術
初期段階では、Turla は基本的なマルウェア ツールとソーシャル エンジニアリング戦術を利用してターゲット ネットワークに侵入していました。一般的なベクトルには、悪意のある添付ファイルやリンクを含むスピア フィッシング メール、ソフトウェアの脆弱性の悪用、水飲み場攻撃を利用してターゲット層が頻繁にアクセスする正規の Web サイトを侵害するなどが含まれます。
このグループの初期のマルウェア兵器には、「Agent.BTZ」や「Turla」などのリモート アクセス トロイの木馬 (RAT) が含まれており、侵害されたシステムのリモート制御を可能にしていました。これらのツールは、データの抽出、キーストロークのログ記録、および監視活動を容易にし、今後数年間でより高度な運用のための基礎を築きました。
成熟と高度な機能
サイバーセキュリティ防御が進化するにつれて、Turla はそれに適応し、高度な回避技術を組み込み、ゼロデイ エクスプロイトを活用してターゲット ネットワークへのアクセスを維持しました。特に、このグループは特定のターゲットに合わせたカスタム ツールを開発し、マルウェア開発における高いレベルの運用の洗練さと専門知識を実証しました。
Turla の特徴的な手法の 1 つは、コマンド アンド コントロール (C2) 通信のための正規のインフラストラクチャの悪用です。このグループは、信頼できるドメインをハイジャックしたり、侵害されたサーバーを利用したり、クラウド サービスを悪用したりすることで、悪意のある活動を隠蔽し、防御側にとって属性の特定と検出を困難にしています。
マルウェア アーセナル: 詳細を見る
Turla の業務の中心となるのは、多様で常に進化するマルウェア ツールキットです。長年にわたり、このグループはさまざまな高度な悪意のあるソフトウェアを展開しており、それぞれがウイルス対策ソリューションやネットワーク防御による検出を回避しながら、特定の目的を達成するように設計されています。
Turla Advanced Persistent Threat (APT) グループによって導入されたマルウェアの広範なレパートリーの中で、いくつかの注目すべき亜種がサイバーセキュリティの状況に重大な痕跡を残しています。その中でも、「Kazuar」、「ComRAT」、「TinyTurla」は、Turla がスパイ活動に使用する強力なツールとして際立っています。
カズアール: スパイ活動のカメレオン
カスピ海のチョウザメにちなんで名付けられたカズアールは、トゥルラの順応性とステルス性を体現しています。 2017 年に初めて確認されたこのモジュール式リモート アクセス ツール (RAT) は、ターゲット ネットワークに侵入して監視するための多用途の手段として機能します。 Katar の強みはモジュール設計にあり、Turla オペレーターは特定のミッション目的に合わせて機能をカスタマイズできます。
カズアールの主な特徴は次のとおりです。
ステルス運用: Kazuar は高度な回避技術を採用してセキュリティ ソリューションによる検出を回避し、ターゲット環境内での秘密の展開を可能にします。
堅牢な通信:侵害されたエンドポイントとリモート オペレーター間のシームレスな対話を促進するために、Kazuar は HTTP や HTTPS などの安全な通信チャネルを活用します。
柔軟な機能:キーストロークの収集やスクリーンショットのキャプチャからシステム メタデータの収集まで、Kazuar は Turla の運用ニーズに合わせた幅広いスパイ機能を提供します。
進化する防御策に適応する能力とその広範な機能セットにより、Kazuar は依然として Turla の武器庫の強力なツールであり、その影響を検出して軽減しようとしている防御側に手強い挑戦をもたらします。
ComRAT: 永続的なスパイ活動プラットフォーム
Agent.BTZ および Turla の「第 2 段階」マルウェアとしても知られる ComRAT は、Turla のサイバー スパイ活動の基礎となっています。 2007 年に登場した ComRAT は数回の反復を経て、綿密な監視を実施し、侵害されたネットワークへの永続的なアクセスを維持できる洗練されたスパイプラットフォームに進化しました。
ComRAT の主な属性は次のとおりです。
高度なデータ収集: ComRAT は、文書、電子メール、資格情報など、侵害されたシステムから幅広い機密情報を収集することに優れています。
秘密通信: ComRAT は、DNS トンネリングやステガノグラフィーなどの技術を利用して、ネットワーク監視メカニズムによる検出を回避しながら、慎重なデータの抽出を容易にします。
モジュール式アーキテクチャ: Kazuar と同様に、ComRAT はモジュール式設計を特徴としており、Turla オペレーターがその機能を特定の運用要件に合わせて調整できるようにします。
ComRAT は、本格的なスパイ活動プラットフォームとして、目的を追求するための技術革新と卓越した運用に対する Turla の取り組みを強調しています。
TinyTurla: 軽量スパイエージェント
TinyTurla は、2019 年に初めて観察された軽量スパイ エージェントであり、Turla の従来のマルウェア戦術からの脱却を表しています。複雑で洗練された機能に依存することが多かった以前のバージョンとは異なり、TinyTurla はステルス性と機敏性に重点を置いたミニマリストのアプローチを採用しています。
TinyTurla の主な特徴は次のとおりです。
コンパクトな設計: TinyTurla は設置面積が小さく、コードが最小限であるため、検出と分析が困難であり、ターゲット環境内でのステルス展開が可能です。
対象を絞った監視: TinyTurla は、そのシンプルさにもかかわらず、対象を絞った監視の実施、機密情報の収集、侵害されたシステムへのリモート アクセスの促進に優れています。
低リソース消費: TinyTurla はリソースに制約のあるシステムで効率的に動作するように設計されており、侵害されたエンドポイントへの影響を最小限に抑え、検出の可能性を減らします。
Zuar や ComRAT に比べて機能は豊富ではありませんが、TinyTurla の軽量設計と機敏性により、Turla のスパイ活動における貴重な資産となり、進化するサイバーセキュリティ防御に直面した際のグループの適応性と革新性をさらに強調しています。
TinyTurla-NG (Next Generation) は、2023 年末にポーランドの NGO を標的とした攻撃キャンペーンで使用されました。Cisco Talos のレポートによると、TinyTurla-NG は、他の不正アクセス ツールが失敗した場合に使用するように設計された、小規模な「最後のチャンス」バックドアとして機能します。または侵害されたシステムで検出されました。
Pelmeni Wrapper は Turla の悪意のある武器庫のもう 1 つのツールであり、次の機能を示します。
- 運用ログ: キャンペーン活動を慎重に監視するために、ランダムな名前と拡張子を持つ隠蔽ログ ファイルを作成します。
- ペイロード配信: 疑似乱数ジェネレーターを利用した特注の復号化方法を利用して、関数のロードと実行を可能にします。
- 実行フローのリダイレクト: プロセス スレッドを操作し、コード インジェクションを導入して、中央のマルウェア コンポーネントを格納する復号化された .NET アセンブリに実行をリダイレクトします。
将来を見据えて、Turla の脅威に対抗するには、脅威インテリジェンスの共有、プロアクティブなネットワーク防御戦略、公共部門と民間部門間の協力を含む多面的なアプローチが必要です。グループの戦術を理解し、最先端のセキュリティ テクノロジーを活用し、サイバーセキュリティ意識の文化を育むことで、組織は Turla や同様の高度で持続的な攻撃者によってもたらされる進化し続ける脅威に対してより適切に防御できるようになります。