俄羅斯駭客組織Secret Blizzard將Kazuar後門程式擴展成殭屍網路,提升隱匿性與持續運作能力
來源:iThome | ID: 696 | 發布:2026-06-01 URL:https://www.ithome.com.tw/news/176268
摘要
微軟資安威脅研究團隊(Microsoft Threat Intelligence)發布報告,揭露俄羅斯駭客組織Secret Blizzard已將後門程式Kazuar升級為具殭屍網路特性的分散式架構,藉此提升隱匿性並擴大攻擊任務範圍。
Secret Blizzard背景
- 與俄羅斯聯邦安全局(FSB)第16中心有關聯(美國CISA資料)
- 別名:Turla、ENOMOUS BEAR、Uroburos、Snake、Blue Python、WRAITH、ATG26
- Kazuar為其專屬惡意軟體家族
Kazuar架構演進
已從單體框架(single monolithic framework)演變為模組化殭屍網路架構,分為三種模組:
| 模組 | 功能 |
|---|---|
| 核心(Kernel) | 擔任指揮節點(Leadership),統一協調對外通訊 |
| 橋接(Bridge) | 內外部通訊中繼 |
| 工作模組(Worker) | 執行具體攻擊任務 |
通訊機制
內部通訊(受感染主機間)
- Windows Messaging
- Mailslot
- Named pipes
外部通訊(與C2伺服器)
- Exchange Web Services(EWS)
- HTTP
- WebSockets(WSS)
隱匿設計
- P2P網路節點架構:三模組部署後構成點對點網路節點
- 流量最小化:每個殭屍網路僅由1臺受感染主機的核心模組擔任指揮節點,統一對外通訊
- 自動領導選舉:原有指揮節點失效時自動選出繼任者,維持持續運作能力
衍生頁面
- 俄羅斯駭客組織Secret Blizzard將Kazuar後門程式擴展成殭屍網路提升隱匿性與持續運作能力 — 主要概念頁面
- secret-blizzard — Secret Blizzard組織頁面
- kazuar — Kazuar惡意軟體頁面