俄罗斯秘密暴雪APT组织：用Kazuar后门锁定乌克兰目标

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

近日，微软威胁情报部门揭露，俄罗斯国家支持的高级持续性威胁（APT）组织“秘密暴雪”（Secret Blizzard，又名Turla、Snake、Waterbug等）正通过恶意软件即服务（MaaS）平台Amadey，在乌克兰部署KazuarV2后门，对乌克兰的军事和关键目标发动新一轮网络攻击。

🎯 攻击策略：利用网络犯罪工具进行网络间谍活动

微软的报告指出，从2024年3月至4月，“秘密暴雪”组织通过Amadey僵尸网络的控制面板或服务，投递PowerShell加载器，并进一步加载加密的Amadey有效载荷和链接到他们的C2服务器。

这一攻击链条包括：

使用鱼叉式网络钓鱼作为初始入侵手段。

借助Amadey僵尸网络对目标设备进行初步渗透。

加载用于窃取凭据和剪贴板数据的插件（cred64.dll和clip64.dll）。

值得注意的是，Amadey本身常用于加密货币挖矿活动，但“秘密暴雪”通过这一网络犯罪工具的存在，掩盖了自身的间谍行为。

🕵️ 高级间谍工具KazuarV2

在此次行动中，“秘密暴雪”将KazuarV2后门部署到乌克兰前线的军事系统中。  

这一后门通过收集并加密系统信息，帮助攻击者对目标设备进行深度监控和数据窃取。它的部分功能包括：

1. 加密通信：使用RC4对数据加密后传输至C2服务器。

2. 模块化攻击：支持加载更多恶意有效载荷以执行进一步侦察和控制。

3. DLL旁加载：借助合法的Symantec二进制文件隐藏恶意活动。

此外，该组织还利用了一个自定义调查工具，通过STARLINK网络IP搜集乌克兰前线设备的详细数据。

🤔 为什么乌克兰是主要目标？

乌克兰不仅是俄罗斯长期关注的地缘政治目标，也是西方支持的军事技术部署的重要节点。  

微软分析称，这些攻击不仅用于窃取乌克兰的军事情报，也可能为了：

破坏乌克兰的军事通信和前线部署。

为俄罗斯的战术行动提供关键情报支持。

通过网络犯罪工具掩盖俄罗斯情报机构的直接参与。

📉 攻击趋势与分析

1. 利用其他威胁组织的基础设施

“秘密暴雪”频繁接管其他威胁行为者的工具和控制面板，例如：

使用巴基斯坦威胁组织Storm-0156的C2基础设施开展南亚地区的间谍活动。

利用Flying Yeti（Storm-1837）的PowerShell后门进一步扩展Kazuar后门的部署。

这一策略帮助“秘密暴雪”有效隐藏其操作来源，同时借助其他黑客组织的成功渗透点快速扩大影响范围。

2. 模糊自身身份

通过混合网络犯罪活动与国家级网络间谍行动，“秘密暴雪”利用常见的网络犯罪工具（如Amadey）掩盖其背后的国家级支持，从而降低被直接追踪的可能性。

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友入圈沟通交流。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。