俄羅斯駭客組織Secret Blizzard將Kazuar後門程式擴展成殭屍網路,提升隱匿性與持續運作能力

來源:iThome | ID: 696 | 發布:2026-06-01 URL:https://www.ithome.com.tw/news/176268

摘要

微軟資安威脅研究團隊(Microsoft Threat Intelligence)發布報告,揭露俄羅斯駭客組織Secret Blizzard已將後門程式Kazuar升級為具殭屍網路特性的分散式架構,藉此提升隱匿性並擴大攻擊任務範圍。

Secret Blizzard背景

  • 與俄羅斯聯邦安全局(FSB)第16中心有關聯(美國CISA資料)
  • 別名:Turla、ENOMOUS BEAR、Uroburos、Snake、Blue Python、WRAITH、ATG26
  • Kazuar為其專屬惡意軟體家族

Kazuar架構演進

已從單體框架(single monolithic framework)演變為模組化殭屍網路架構,分為三種模組:

模組功能
核心(Kernel)擔任指揮節點(Leadership),統一協調對外通訊
橋接(Bridge)內外部通訊中繼
工作模組(Worker)執行具體攻擊任務

通訊機制

內部通訊(受感染主機間)

  • Windows Messaging
  • Mailslot
  • Named pipes

外部通訊(與C2伺服器)

  • Exchange Web Services(EWS)
  • HTTP
  • WebSockets(WSS)

隱匿設計

  • P2P網路節點架構:三模組部署後構成點對點網路節點
  • 流量最小化:每個殭屍網路僅由1臺受感染主機的核心模組擔任指揮節點,統一對外通訊
  • 自動領導選舉:原有指揮節點失效時自動選出繼任者,維持持續運作能力

衍生頁面