近年来,随着信息技术的不断发展,网络攻击手段愈发复杂和多样化,尤其是在地缘政治冲突背景下,国家级黑客组织活跃频率显著增加。2025年,知名俄罗斯网络黑客团体Gamaredon和Turla被发现开展罕见合作,共同在乌克兰境内部署Kazuar后门病毒,这一联手引发了全球网络安全界的高度关注。两大黑客组织如何协作,其攻击链路又是如何构建,对乌克兰及全球网络安全生态具有什么实质性影响,成为当前研究和防御的重点。Gamaredon成立时间较早,自2013年以来长期针对乌克兰政府机构实施攻击,利用钓鱼邮件和恶意快捷方式文件等手法传播,其工具套件不断更新,具备强大的初始访问能力。相比之下,Turla活跃时间更久,追溯至20世纪90年代末,以高端定制化攻击闻名,曾成功突破多个国家政府和重要机构网络,Kazuar后门是其标志性植入工具,具备高度隐蔽与动态更新特性。根据斯洛伐克知名安全企业ESET发布的报告,2025年2月,研究人员首次在乌克兰境内部署Kazuar后门的终端设备上检测到Gamaredon开发的PowerShell工具PteroGraphin及PteroOdd的活动迹象。
这些工具被用于启动和复苏Kazuar后门,暗示两者存在紧密的操作协调关系。PteroGraphin通过微软Excel加载项和计划任务维持持久性,利用电报(Telegram)API作为指挥控制渠道,从而实现远程命令执行和数据窃取。不仅如此,4月和6月期间,ESET又在乌克兰目标机器上发现Gamaredon家族的另外两个恶意程序PteroOdd和PteroPaste的载荷,这些载荷均被用于投放Kazuar的不同版本。通过这些多阶段攻击链条,Gamaredon负责获取初始访问权限并建立控制通道,随后Turla利用Kazuar后门展开深度的侦察与信息窃取。业内分析指出,这种协作模式彰显出俄罗斯联邦安全局(FSB)对两组织的战略指导意义。Gamaredon也被称为Aqua Blizzard或Armageddon,常年聚焦乌克兰政府目标,擅长利用社会工程学结合恶意文档实施渗透。
Turla别名Secret Blizzard或Venomous Bear,是历史悠久的高级威胁组织,主攻高价值国家情报和外交机构,曾入侵美国国防部与瑞士国防企业。此次合作背后,显而易见的是俄罗斯全面军事行动以来加剧的网络战态势。Kazuar后门是Turla持续维护和更新的核心组件,自2016年被安全厂商Kaspersky首次发现以来,其复杂性和多样化传输方式不断提升。最新Kazuar v3版本在代码行数比前代增加超过三分之一,新增了多种网络传输协议,如WebSocket和Exchange Web服务,增强了其攻击灵活性和隐匿性。Gamaredon所使用工具均基于PowerShell脚本,依赖与Telegram平台的API通信,巧妙规避传统流量监控,典型攻击流程包括首阶段利用PteroGraphin触发下载载荷,二阶段通过PteroOdd发起Kazuar后门部署。载荷在被部署后还会收集受害者计算机名和系统卷序列号等关键信息,向Cloudflare托管的子域发送,进一步作为后续攻击的信号确认。
多套攻击样本的分析显示,Kazuar的部署时间最早可追溯至2025年2月中旬,而在之后的几个月内,类似攻击行为在乌克兰多个目标中反复出现,说明攻击团队已经建立稳定的网络渗透链路。此外,研究人员发现Gamaredon自身没有使用任何基于.NET平台的恶意软件,而Kazuar完全以.NET语言开发并运行,这暗示Gamaredon所收集的信息极有可能被传递给Turla进行后续利用,实现两者间作战功能的合理分工和优势互补。2025年中期的攻击中,PteroPaste等新的PowerShell载荷被频繁观察到,攻击者甚至试图通过伪装为安全软件ESET的合法进程名"ekrn.exe"来迷惑分析人员,显示出极强的反取证和隐蔽策略。国际安全社区普遍认为,Gamaredon主要承担网络攻击的前线炮火角色,负责打开局域网外围防御,通过钓鱼、电邮及可移动介质快速入侵目标环境,而Turla则侧重于后期情报收集和持续监控,利用Kazuar后门深挖系统内部敏感数据。此类协同攻击不仅提高了攻击效率,也加剧了防御难度。乌克兰作为俄乌冲突的前沿阵地,其网络基础设施频遭针对,尤其是防务行业成为重灾区。
双方在网络空间的博弈揭示出现代战争一个重要趋势:信息和网络能力的标准日益成为国家安全的关键组成部分。Kazuar后门及相关工具持续推陈出新,倡导安全从业者必须在检测、响应及预防多个层面提高综合能力。基于现有研究,防御建议应包含强化员工网络安全意识教育,完善邮件过滤及恶意附件检测机制,及时更新安全补丁,同时利用行为分析检测异常进程与通信,阻断后门活动链路。当前全球范围内针对类似攻击的反制措施已催生更多协作与情报分享平台,强化跨国合作,以应对具有国家支持背景的高级持续威胁。总结来看,Gamaredon与Turla的合作代表了一种新型的网络攻击联合体,融合了初始入侵与深层侦察能力,挑战传统安全防线。乌克兰事件为全球网络安全提供了生动案例,警醒各国关注国家级网络威胁,投入更多资源于威胁情报与应急响应,保障关键信息系统的安全稳定。
未来,随着攻击工具的自动化和智能化,网络防御者必须加快科技创新步伐,建立更具适应性的安全生态体系,才能有效抵御不断演化的网络威胁。 。
