文章总结： 俄罗斯黑客组织Turla将其Kazuar后门升级为模块化P2P僵尸网络，通过内核、桥接、工作节点三大模块实现隐蔽通信与持久控制，内核模块选举领导者协调任务，工作节点收集系统信息、击键等数据，利用专用工作目录聚合加密数据后外泄，主要针对政府、外交和国防部门以支持情报收集。 综合评分： 85 文章分类： 恶意软件,威胁情报,漏洞分析,网络安全,红队

Turla 将 Kazuar 后门转化为模块化 P2P 僵尸网络，实现持久访问

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年5月16日 08:08 北京

在小说阅读器读本章

去阅读

俄罗斯国家支持的黑客组织 Turla 将其定制的后门 Kazuar 改造成了一个模块化的点对点 (P2P) 僵尸网络，该网络旨在隐蔽地持续访问受感染的主机。

根据美国网络安全和基础设施安全局 (CISA) 的评估，Turla 与俄罗斯联邦安全局 (FSB) 第 16 中心有关联。它与更广泛的网络安全社区追踪到的 ATG26、Blue Python、Iron Hunter、Pensive Ursa、Secret Blizzard（前身为 Krypton）、Snake、SUMMIT、Uroburos、Venomous Bear、Waterbug 和 WRAITH 等名称的活动存在重叠。

该黑客组织以攻击欧洲和中亚的政府、外交和国防部门而闻名，他们还 攻击了 Aqua Blizzard（又名 Actinium 和 Gamaredon）之前入侵的终端， 以支持克里姆林宫的战略目标。

微软威胁情报团队在周四发布的一份报告中指出： “此次升级符合 Secret Blizzard 的更广泛目标，即获取系统长期访问权限以收集情报。 虽然许多威胁行为者依赖于越来越多地使用原生工具（即“借用系统资源”二进制文件 (LOLBins)）来逃避检测，但 Kazuar 向模块化僵尸网络的演进凸显了 Secret Blizzard 如何将弹性和隐蔽性直接融入到他们的工具中。”

Turla 的一项关键工具是 Kazuar ，这是一个 复杂的 .NET 后门程序 ，自 2017 年以来一直被持续使用。微软的最新研究成果显示，Kazuar 已从一个“单体”框架演变为一个模块化的机器人生态系统，该系统包含三种不同的组件类型，每种组件都有其明确定义的角色。这些变化实现了灵活的配置，减少了可观测的资源占用，并有助于执行广泛的任务。

已发现，传播该恶意软件的攻击依赖于 Pelmeni 和 ShadowLoader 等投放器来解密和启动模块。构成 Kazuar 架构基础的三种模块类型如下所示 –

• 内核 作为僵尸网络的中央协调器，向工作模块发出任务，管理与桥接模块的通信，维护操作日志和收集的数据，执行反分析和沙箱检查，并通过配置设置环境，该配置指定与命令和控制 (C2) 通信、数据外泄时间、任务管理、文件扫描和收集以及监控相关的各种参数。
• Bridge 充当领导者内核模块和 C2 服务器之间的代理。
• Worker 会记录击键、挂钩 Windows 事件、跟踪任务，并收集系统信息、文件列表和消息应用程序编程接口 ( MAPI ) 详细信息。

内核模块类型公开了三种内部通信机制（通过 Windows 消息传递、邮件槽和命名管道）以及三种不同的与攻击者控制的基础架构通信的方法（通过 Exchange Web 服务、HTTP 和 WebSocket）。该组件还会“选举”一个内核领导者，代表其他内核模块与桥接模块通信。

| | | — | | 微软解释说：“选举通过邮件槽进行，领导者的选出依据是工作量（内核模块的运行时间）除以中断次数（重启、注销、进程终止）。一旦领导者当选，它就会宣布自己是领导者，并通知所有其他内核模块将状态设置为静默（SILENT）。只有当选的领导者不会处于静默状态，这使得领导者内核模块能够记录活动并通过桥接模块请求任务。” |

该模块的另一个功能是启动各种线程，在内核模块之间建立命名管道通道，以进行内核间通信，指定外部通信方法，以及通过 Windows 消息传递或邮件槽促进内核到工作节点和内核到桥接节点的通信。

内核的最终目标是从C2服务器轮询新任务，解析传入的消息，将任务分配给工作节点，更新配置，并将任务结果发送回服务器。此外，该模块还包含一个任务处理器，用于处理内核领导者发出的命令。

Worker 模块收集的数据随后会被聚合、加密，并写入恶意软件的工作目录，然后从该目录泄露到 C2 服务器。

微软表示：“Kazuar 使用一个专用的工作目录作为集中式的磁盘暂存区，以支持其跨模块的内部操作。该目录通过配置定义，并始终使用完全限定路径进行引用，以避免在不同的执行上下文中出现歧义。”

在工作目录中，Kazuar 按功能组织数据，将任务、收集输出、日志和配置资料隔离到不同的位置。这种设计使恶意软件能够将任务执行与数据存储和泄露解耦，在重启后保持运行状态，并在模块之间协调异步活动，同时最大限度地减少与外部基础设施的直接交互。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《Turla 将 Kazuar 后门转化为模块化 P2P 僵尸网络，实现持久访问》