本文轉自【國際安全智庫】;
阿爾文·托夫勒的《第三次浪潮》曾提到:“誰掌握了信息,控制了網絡,誰就將擁有整個世界。”正值網絡戰時代,每個人都無法獨善其身。亦如這片網絡“修羅場”的戰役,也從未停止……近日,360安全大腦國內首度捕獲和披露一名為“藍色魔眼”的APT組織(APT-C-41),指出其針對我國相關重要機構發動首起定向攻擊行動。而經360安全大腦的進一步溯源發現,看似網絡鍵盤上的較量竟與軍事實戰密切相關,一樁樁有關“藍色魔眼”的網空博弈更是分外撲簌迷離……
360安全大腦首揭“藍色魔眼”(APT-C-41)
目標鎖定我國相關重要機構
昨日,360安全大腦捕獲和披露一例針對我國展開攻擊活動的神秘APT組織,並將其命名為“藍色魔眼”,分配全新編號APT-C-41。通過進一步分析研判發現,此次攻擊屬於該黑客組織罕見針對我國相關重要機構發起的首起定向攻擊行動。
截止目前,該行動的攻擊意圖尚未可知,但結合360安全大腦威脅情報,我們發現:這一名為“藍色魔眼”(APT-C-41)的黑客組織並非“初出茅廬”,從攻擊活動及範圍上看更是不容小覷。
談起“藍色魔眼”(APT-C-41)組織,最早的攻擊活動可以追溯到2012年,攻擊區域聚焦在對意大利、土耳其、比利時、敍利亞、歐洲等地區和國家之中。具體信息如下:
2016年10月,卡巴斯基 發佈了《on-the-strongpity-waterhole-attacks-targeting-italian-and-belgian-encryption-users》,披露了該組織針對意大利和比利時地區的APT攻擊活動。
同年12月14號,微軟的安全情報報告中披露了該組織利用 Flash Player 零日漏洞針對歐美地區展開Promethium行動和Neodymium行動。
2020年6月,Bitdefender研究人員披露該組織針對敍利亞和土耳其庫爾德社區展開水坑攻擊,用於監視和情報泄露目的。
不難發現,“藍色魔眼”(APT-C-41)組織將其目光主要聚焦於歐洲國家等地區之中。在此,我們可以看出360安全大腦對該組織命名的些許門道。
據言,“藍眼睛”是土耳其人最喜愛的護身符和吉祥物,也被稱作“惡魔之眼”或“辟邪珠”。而該組織正是疑似出自土耳其地區,故而360安全大腦將這例新APT組織命名為“藍色魔眼”, 具有強烈的地域色彩。
與此同時,在長達8年的時間裏,“藍色魔眼”(APT-C-41)組織的攻擊戰備資源充足,具備0day漏洞作戰能力,擁有一套複雜的模塊化攻擊武器庫,並從2016年至今持續迭代升級。而今年極為活躍的V4版本後門程序,更成為該組織展開攻擊的“必殺技”。
新型武器V4後門程序揭秘
“藍色魔眼”組織步步謀劃發動攻擊
正所謂,凡是攻擊,必會留下痕跡。想要全面瞭解“藍色魔眼”一直神秘組織,技戰術分析自然不可或缺。而在“藍色魔眼”最新攻擊武器庫——V4後門程序的分析中,我們就可以窺知一二。
其一,縝密完善的攻擊技戰術。 “藍色魔眼”(APT-C-41)組織在攻破主機後,會在失陷主機上部署最新V4版本的後門程序,在內存中加載各種功能插件進行攻擊活動。該後門程序的執行流程如下圖所示:
執行流程如下:
Skype的升級服務程序被持久駐留執行
Skype的升級程序加載同路徑下的wtsapi32.dll執行
wtsapi32.dll讀取註冊表HKCR\Software\Appdatalow\Software\Skype下的數據,並解密執行Loader組件
Loader組件讀取註冊表HKCR\Software\Appdatalow\Software\Skype下數據,解密執行其他的攻擊插件
各模塊對應功能如下表所示:
其二,不斷進階的攻擊組件。 正所謂,技術革新才是發展之道,攻防兩端的博弈更是諳於此道。八年間,“藍色魔眼”的攻擊進化從未停止。
SkypeUpdate Service
由於原版的Skype升級服務程序在加載wtsapi32.dll動態庫時未對其合法性進行驗證,被該組織作為DLL惡意荷載的白利用加載程序。
初始加載器-MiniLoader
該組件的模塊名為MiniLoader,組件通過Skype更新服務程序的加載執行,主要功能是通過解密註冊表HKCU\Software\AppDataLow\Software\Skype數據,獲得插件模塊並加載功能插件Loader。MiniLoader文件信息如下:
插件-Loader
Loader為EXE文件類型,是負責解密加載其他功能插件的核心組件。在其main函數中,首先加載序號為大於2的功能插件,然後加載序號為2的通信功能插件。
插件-通信後門
通信組件模塊名為Comti.dll,主要負責命令控制和數據傳輸,利用Winnet API上傳其他插件模塊所產生的數據,如屏幕截圖,鍵盤記錄等信息,以及負責植入後續攻擊組件。攻擊者會使用後門版本號加C盤VolumeSerialNumber計算設備唯一標識符,用以標記中招機器。
插件-磁盤文件信息蒐集
該組件模塊名為lngwyztn.dll,主要負責收集中招計算機文件信息。
插件-屏幕監控
該組件模塊名為scpctr.dll,主要負責收集中招計算機指定屏幕截圖信息。截屏的圖片以bmp格式打包到zip中,再將zip數據加密為*.tbl的文件保存。
插件-鍵盤監控
該組件模塊名為kltgtr.dll,主要負責收集中招用户計算機的鍵盤記錄信息。
插件-磁盤文件竊取
該組件模塊名為whtnwfc.dll,主要負責收集中招計算機指定文件的文件內容。
可見,從“完善的攻擊技戰術”到“每一個攻擊組件”,狡猾的“藍色魔眼”組織採取“進階升級”的作戰之術,這也使得其攻擊輻射面不斷擴張。而從另一個角度看,攻擊技術的擴張,也似乎暗示着攻擊目標的逐步改變與壯大。
技能升級鍛造之下
“藍色魔眼”欲成為網絡戰利器
掌握兵器之道,才可更好應戰。不斷的進階鍛造“藍色魔眼”很快加入到了網絡戰修羅場之中。看似小小的網絡攻擊也順勢升級為國家級網絡對抗。
在今年6月,披露的“藍色魔眼”最新針對土耳其和敍利亞的攻擊活動中,該組織對庫爾德人社區尤其感興趣,而攻擊發生的時間恰好與土耳其發動對敍利亞東北部的軍事攻勢“和平之泉”行動(OperationPeaceSpring)相吻合。
可以想見,在土耳其與庫爾德展開武裝實戰軍事行動之時,暗潮湧動的網絡戰也正在進行。網絡戰與軍事實戰的界限早已模糊,“藍色魔眼”也或將成為網絡實戰的一把重要利器。不得不説,此次全新APT組織的披露,無疑令網絡安全世界再蒙一層冰霜。
智 庫 時 評
當今,伴隨數字孿生世界的開啓,網絡攻擊態勢每時每刻都在影響着現實物理世界。其中APT攻擊作為高階的網絡威脅重要一環,始終貫穿於現實的大國政治和軍事博弈之中。
不得不猜想,此次“藍色魔眼”組織對我國展開攻擊的真正目的所在。但無論如何網絡主權如國家主權一樣不容得半點侵犯。威脅之下,誰能夠“先下一城”及時展開應對與防禦,誰就能在未來世界大國博弈之中,贏得“先機”。
最後,關於360高級威脅研究院:
360政企安全集團的核心能力支持部門,由360資深安全專家組成,專注於高級威脅的發現、防禦、處置和研究,曾在全球範圍內率先捕獲雙殺、雙星、噩夢公式等多起業界知名的0day在野攻擊,獨家披露多個國家級APT組織的高級行動,贏得業內外的廣泛認可,為360護航網絡空間安全提供有力支撐。