俄羅斯駭客組織Secret Blizzard將Kazuar後門程式擴展成殭屍網路提升隱匿性與持續運作能力
微軟威脅情報(Microsoft Threat Intelligence)2026年6月1日發布報告,揭露俄羅斯FSB關聯駭客組織Secret Blizzard(別名Turla)將後門程式Kazuar升級為模組化殭屍網路架構。新架構採核心/橋接/工作三模組分工,配合P2P網路設計與流量最小化機制,大幅提升隱匿性與持續運作能力。
架構特徵
Kazuar從單體框架升級為三模組殭屍網路:
- Kernel(核心):唯一對外通訊節點,具自動領導選舉機制
- Bridge(橋接):內外通訊中繼
- Worker(工作):執行具體攻擊任務
通訊技術
內部(受感染主機間):Windows Messaging、Mailslot、Named pipes
外部(C2):Exchange Web Services(EWS)、HTTP、WebSockets(WSS)
隱匿設計原理
每個殭屍網路群組只由1臺主機的核心模組擔任對外指揮節點,限制對外流量,降低曝光風險。指揮節點失效時自動選出繼任者,確保持續運作。
組織背景
Secret Blizzard(Turla/Uroburos/Snake)與俄羅斯FSB第16中心有關聯,長期以APT攻擊高價值目標。
來源文章
相關頁面
- secret-blizzard — 攻擊組織
- kazuar — 惡意軟體
- microsoft — 報告發布方