导语:阿尔文·托夫勒的《第三次浪潮》曾提到:“谁掌握了信息,控制了网络,谁就将拥有整个世界。”正值网络战时代,每个人都无法独善其身。亦如这片网络“修罗场”的战役,也从未停止……近日,360安全大脑国内首度捕获和披露一名为“蓝色魔眼”的APT组织(APT-C-41),指出其针对我国相关重要机构发动首起定向攻击行动。而经360安全大脑的进一步溯源发现,看似网络键盘上的较量竟与军事实战密切相关,一桩桩有关“蓝色魔眼”的网空博弈更是分外扑簌迷离……
360安全大脑首揭“蓝色魔眼”(APT-C-41)
目标锁定我国相关重要机构
近日,360安全大脑捕获和披露一例针对我国展开攻击活动的神秘APT组织,并将其命名为“蓝色魔眼”,分配全新编号APT-C-41。通过进一步分析研判发现,此次攻击属于该黑客组织罕见针对我国相关重要机构发起的首起定向攻击行动。
截止目前,该行动的攻击意图尚未可知,但结合360安全大脑威胁情报显示:这一名为“蓝色魔眼”(APT-C-41)的黑客组织并非“初出茅庐”,从攻击活动及范围上看更是不容小觑。具体信息如下:
谈起“蓝色魔眼”(APT-C-41)组织,最早的攻击活动可以追溯到2012年,攻击区域更是聚焦在对意大利、土耳其、比利时、叙利亚、欧洲等地区和国家之中。
l 2016年10月,卡巴斯基 发布了《on-the-strongpity-waterhole-attacks-targeting-italian-and-belgian-encryption-users》,披露了该组织针对意大利和比利时地区的APT攻击活动。
l 同年12月14号,微软的安全情报报告中披露了该组织利用 Flash Player 零日漏洞针对欧美地区展开Promethium行动和Neodymium行动。
l 2020年6月,Bitdefender研究人员披露该组织针对叙利亚和土耳其库尔德社区展开水坑攻击,用于监视和情报泄露目的。
不难发现,“蓝色魔眼”(APT-C-41)组织将其目光主要聚焦于欧洲国家等地区之中。而报告的披露,可以看出360安全大脑对该组织命名的些许门道——“蓝眼睛”正是土耳其人最喜爱的护身符和吉祥物,也被称作“恶魔之眼”或“辟邪珠”。而该组织正是疑似出自土耳其地区,故而360安全大脑将这例新APT组织命名为“蓝色魔眼”, 具有强烈的地域色彩。
与此同时,在长达8年的时间里,“蓝色魔眼”(APT-C-41)组织的攻击战备资源充足,具备0day漏洞作战能力,拥有一套复杂的模块化攻击武器库,并从2016年至今持续迭代升级。而今年极为活跃的V4版本后门程序,更成为该组织展开攻击的“必杀技”。
新型武器V4后门程序揭秘
“蓝色魔眼”(APT-C-41)组织如何发动攻击?
正所谓,凡是攻击,必会留下痕迹。想要全面了解“蓝色魔眼”一直神秘组织,技战术分析自然不可或缺。而在“蓝色魔眼”最新攻击武器库——V4后门程序的分析中就可以窥知一二。
其一,缜密完善的攻击技战术。“蓝色魔眼”(APT-C-41)组织在攻破主机后,会在失陷主机上部署最新版本的后门程序,在内存中加载各种功能插件进行攻击活动。
其二,不断进阶的攻击组件。正所谓,技术革新才是发展之道,攻防两端的博弈更是谙于此道。8年间,“蓝色魔眼”的攻击进化从未停止。
从“完善的攻击技战术”到“每一个攻击组件”,狡猾的“蓝色魔眼”组织采取“进阶升级”的作战之术,这也使得其攻击辐射面不断扩张。而从另一个角度看,攻击技术的扩张,也似乎暗示着攻击目标的逐步改变与壮大。
技能升级锻造之下
“蓝色魔眼”欲成为网络战利器
值得一提的是,今年6月,披露的“蓝色魔眼”最新针对土耳其和叙利亚的攻击活动中,该组织对库尔德人社区尤其感兴趣,而攻击发生的时间恰好与土耳其发动对叙利亚东北部的军事攻势“和平之泉”行动(Operation PeaceSpring)相吻合。
可以想见,在土耳其与库尔德展开武装实战军事行动之时,暗潮涌动的网络战也正在进行。网络战与军事实战的界限早已模糊,“蓝色魔眼”也或将成为网络实战的一把重要利器。不得不说,此次全新APT组织的披露,无疑为网络安全的世界再蒙一层冰霜。
当今,伴随数字孪生世界的开启,网络攻击态势每时每刻都在影响着现实物理世界。其中APT攻击作为高阶的网络威胁重要一环,始终贯穿于现实的大国政治和军事博弈之中。威胁之下,谁能够“先下一城”及时展开应对与防御,谁就能在未来世界大国博弈之中,赢得“先机”。
最后,关于360高级威胁研究院:
关于360高级威胁研究院:是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360护航网络空间安全提供有力支撑。
如若转载,请注明原文地址