俄黑客组织将后门武器化：Kazuar变身模块化P2P僵尸网络|kazuar|僵尸|后门|微软|新系统|服务器|知名企业|通信_手机网易网网易网易号

俄黑客组织将后门武器化：Kazuar变身模块化P2P僵尸网络

报错免疫体

2026-05-16 01:41 ·北京

全球7000种语言，AI能翻译的不到200种。但在网络攻击领域，一种名为Kazuar的后门程序，却完成了从单一工具到模块化生态的华丽转身。

微软威胁情报团队本周发布报告，披露了俄罗斯国家支持的黑客组织Turla对其定制后门Kazuar的重大升级。这个自2017年持续运作的.NET后门，已被改造成一个模块化的点对点（P2P）僵尸网络，专为隐蔽性和持久化访问而设计。

打开网易新闻查看精彩图片

据美国网络安全与基础设施安全局（CISA）评估，Turla与俄罗斯联邦安全局（FSB）第16中心有关联。该组织在网络安全社区中还有多个别名：ATG26、Blue Python、Iron Hunter、Pensive Ursa、Secret Blizzard（原Krypton）、Snake、SUMMIT、Uroburos、Venomous Bear、Waterbug、WRAITH。其攻击目标集中在欧洲和中亚的政府、外交及国防部门，甚至接管过Aqua Blizzard（又名Actinium和Gamaredon）先前入侵的终端，以支持克里姆林宫的战略目标。

"此次升级符合Secret Blizzard获取系统长期访问权限以收集情报的广泛目标，"微软团队在报告中指出，"虽然许多威胁行为者依赖增加原生工具（离地攻击二进制文件/LOLBins）的使用来规避检测，但Kazuar向模块化僵尸网络的演进表明，Secret Blizzard正直接将弹性和隐蔽性工程化到其工具中。"

微软的最新发现揭示了Kazuar从"单体"框架向模块化僵尸生态系统的演变。新架构包含三种功能明确的组件类型：

核心（Kernel）模块作为僵尸网络的中央协调器，向工作模块分配任务，管理与桥接模块的通信，记录操作和收集的数据日志，执行反分析和沙箱检测，并通过配置参数设置环境——这些参数涵盖命令与控制（C2）通信、数据渗出时机、任务管理、文件扫描与收集以及监控等方面。

桥接（Bridge）模块充当核心模块与C2服务器之间的代理。

工作（Worker）模块负责记录键盘输入、挂钩Windows事件、跟踪任务，并收集系统信息、文件列表以及邮件应用程序编程接口（MAPI）详情。

这种模块化设计带来了显著优势：灵活配置、减少可观测足迹、支持广泛的任务分配。攻击分发该恶意软件时，被发现依赖Pelmeni和ShadowLoader等投放器来解密和启动各模块。

核心模块暴露了三种内部通信机制（通过Windows消息、邮件槽和命名管道），以及三种联系攻击者控制基础设施的方法（通过Exchange Web Services、HTTP和WebSockets）。这种多层通信架构进一步增强了其逃避检测的能力。

特别声明：本文为网易自媒体平台“网易号”作者上传并发布，仅代表该作者观点。网易仅提供信息发布平台。

打开网易新闻体验更佳