🔥 この記事の詳細
2026-06-01 更新
B
今週中

ロシアの政府系ハッカー集団Secret Blizzardが、後門プログラム「Kazuar」を分散型のボットネット構造にアップグレードしたこと

脆弱性🌐 英語ソース
📅 2026-06-01📰 ithome_tw
📌 一言でいうと
ロシアの政府系ハッカー集団Secret Blizzardが、後門プログラム「Kazuar」を分散型のボットネット構造にアップグレードしたことが判明しました。新バージョンでは、機能を「Kernel」「Bridge」「Worker」の3つのモジュールに分散させ、P2P通信や特定の外部プロトコルを利用することで、検知回避能力と持続性を向上させています。また、通信量を制限するために指揮ノード(Leadership)を1台に限定し、失效時には自動的に後継者を選出する仕組みを備えています。
🔍該当判定
  • Windows OSを搭載したPCやサーバーを社内で利用している
  • Microsoft Exchange Server(メールサーバー)を自社運用している
  • 外部から社内ネットワークへアクセス可能なHTTP/WebSockets通信を許可している
  • ロシア政府系ハッカー組織(Secret Blizzard/Turla等)の標的となる可能性のある業種(政府機関・重要インフラ・外交関連)である
上記いずれにも該当しない → 静観でOK
該当時の対応
ネットワークトラフィックにおける異常なEWS、HTTP、WebSockets通信の監視を強化し、エンドポイントでの不審なNamed pipesやMailslot通信を検知する設定を導入することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】ロシア系APT「Secret Blizzard」によるKazuar後門の機能拡張について

お疲れさまです。Secret BlizzardによるマルウェアKazuarのアップデートに関する情報共有です。

■ 概要
ロシアのFSBに関連するとされるSecret Blizzardが、Kazuarをモジュール型のボットネット構造に刷新しました。P2P通信(Windows Messaging, Mailslot, Named pipes)と外部C2通信(EWS, HTTP, WSS)を組み合わせ、検知を回避しつつ持続的なアクセスを維持する設計となっています。

■ 影響範囲
- Windows環境(特に政府・外交系組織が標的となる傾向)

■ 対応手順
1. 外部への不審なWebSockets (WSS) および Exchange Web Services (EWS) 通信の監視強化
2. ホスト内での不審なNamed pipesおよびMailslotを利用したプロセス間通信の監視
3. EDR等を用いて、未知のバイナリによるP2P的な挙動の検知ルールの確認

■ 参考情報
- Microsoft Threat Intelligence Report

対応優先度: 中
対応期限: 継続的な監視
Subject: [Intel] Evolution of Kazuar Backdoor by Secret Blizzard (Russian APT)

Dear Security Team,

We are sharing intelligence regarding the evolution of the Kazuar backdoor used by the Russian state-sponsored actor Secret Blizzard.

■ Overview
Secret Blizzard has transitioned Kazuar from a monolithic framework to a modular botnet architecture. It employs a three-tier module system (Kernel, Bridge, Worker) and utilizes P2P communication (Named pipes, Mailslot) internally, while communicating with C2 servers via EWS, HTTP, and WSS to minimize the traffic footprint.

■ Scope
- Windows-based environments, particularly within government and strategic sectors.

■ Recommended Actions
1. Enhance monitoring for anomalous outbound traffic via WebSockets (WSS) and Exchange Web Services (EWS).
2. Monitor for suspicious inter-process communication using Named pipes and Mailslots on endpoints.
3. Review EDR detection rules for P2P-like behavior originating from unauthorized binaries.

■ Reference
- Microsoft Threat Intelligence Report

Priority: Medium
Deadline: Ongoing Monitoring
🔗 元の記事を読む
← トップへ戻る🗓 2026-06-01 のまとめ🔍 記事を検索