360安全大腦國(guó)內(nèi)首揭藍(lán)色魔眼（APT-C-41）覬覦我國(guó)關(guān)鍵機(jī)構(gòu)

【導(dǎo)讀】 阿爾文·托夫勒的《第三次浪潮》曾提到：“誰(shuí)掌握了信息，控制了網(wǎng)絡(luò)，誰(shuí)就將擁有整個(gè)世界。”正值網(wǎng)絡(luò)戰(zhàn)時(shí)代，每個(gè)人都無(wú)法獨(dú)善其身。亦如這片網(wǎng)絡(luò)“修羅場(chǎng)”的戰(zhàn)役，也從未停止……近日，360安全大腦國(guó)內(nèi)首度捕獲和披露一名為“藍(lán)色魔眼”的APT組織(APT-C-41)，指出其針對(duì)我國(guó)相關(guān)重要機(jī)構(gòu)發(fā)動(dòng)首起定向攻擊行動(dòng)。而經(jīng)360安全大腦的進(jìn)一步溯源發(fā)現(xiàn)，看似網(wǎng)絡(luò)鍵盤上的較量竟與軍事實(shí)戰(zhàn)密切相關(guān)，一樁樁有關(guān)“藍(lán)色魔眼”的網(wǎng)空博弈更是分外撲簌迷離……

360安全大腦首揭“藍(lán)色魔眼”（APT-C-41）

目標(biāo)鎖定我國(guó)相關(guān)重要機(jī)構(gòu)

近日，360安全大腦捕獲和披露一例針對(duì)我國(guó)展開攻擊活動(dòng)的神秘APT組織，并將其命名為“藍(lán)色魔眼”，分配全新編號(hào)APT-C-41。通過進(jìn)一步分析研判發(fā)現(xiàn)，此次攻擊屬于該黑客組織罕見針對(duì)我國(guó)相關(guān)重要機(jī)構(gòu)發(fā)起的首起定向攻擊行動(dòng)。

截止目前，該行動(dòng)的攻擊意圖尚未可知，但結(jié)合360安全大腦威脅情報(bào)顯示：這一名為“藍(lán)色魔眼”(APT-C-41)的黑客組織并非“初出茅廬”，從攻擊活動(dòng)及范圍上看更是不容小覷。具體信息如下：

談起“藍(lán)色魔眼”(APT-C-41)組織，最早的攻擊活動(dòng)可以追溯到2012年，攻擊區(qū)域更是聚焦在對(duì)意大利、土耳其、比利時(shí)、敘利亞、歐洲等地區(qū)和國(guó)家之中。

2016年10月，卡巴斯基 發(fā)布了《on-the-strongpity-waterhole-attacks-targeting-italian-and-belgian-encryption-users》，披露了該組織針對(duì)意大利和比利時(shí)地區(qū)的APT攻擊活動(dòng)。

同年12月14號(hào)，微軟的安全情報(bào)報(bào)告中披露了該組織利用 Flash Player 零日漏洞針對(duì)歐美地區(qū)展開Promethium行動(dòng)和Neodymium行動(dòng)。

2020年6月，Bitdefender研究人員披露該組織針對(duì)敘利亞和土耳其庫(kù)爾德社區(qū)展開水坑攻擊，用于監(jiān)視和情報(bào)泄露目的。

不難發(fā)現(xiàn)，“藍(lán)色魔眼”(APT-C-41)組織將其目光主要聚焦于歐洲國(guó)家等地區(qū)之中。而報(bào)告的披露，可以看出360安全大腦對(duì)該組織命名的些許門道——“藍(lán)眼睛”正是土耳其人最喜愛的護(hù)身符和吉祥物，也被稱作“惡魔之眼”或“辟邪珠”。而該組織正是疑似出自土耳其地區(qū)，故而360安全大腦將這例新APT組織命名為“藍(lán)色魔眼”， 具有強(qiáng)烈的地域色彩。

與此同時(shí)，在長(zhǎng)達(dá)8年的時(shí)間里，“藍(lán)色魔眼”(APT-C-41)組織的攻擊戰(zhàn)備資源充足，具備0day漏洞作戰(zhàn)能力，擁有一套復(fù)雜的模塊化攻擊武器庫(kù)，并從2016年至今持續(xù)迭代升級(jí)。而今年極為活躍的V4版本后門程序，更成為該組織展開攻擊的“必殺技”。

新型武器V4后門程序揭秘

“藍(lán)色魔眼”（APT-C-41）組織如何發(fā)動(dòng)攻擊？

正所謂，凡是攻擊，必會(huì)留下痕跡。想要全面了解“藍(lán)色魔眼”一直神秘組織，技戰(zhàn)術(shù)分析自然不可或缺。而在“藍(lán)色魔眼”最新攻擊武器庫(kù)——V4后門程序的分析中就可以窺知一二。

其一，縝密完善的攻擊技戰(zhàn)術(shù)。“藍(lán)色魔眼”(APT-C-41)組織在攻破主機(jī)后，會(huì)在失陷主機(jī)上部署最新版本的后門程序，在內(nèi)存中加載各種功能插件進(jìn)行攻擊活動(dòng)。

其二，不斷進(jìn)階的攻擊組件。正所謂，技術(shù)革新才是發(fā)展之道，攻防兩端的博弈更是諳于此道。8年間，“藍(lán)色魔眼”的攻擊進(jìn)化從未停止。

從“完善的攻擊技戰(zhàn)術(shù)”到“每一個(gè)攻擊組件”，狡猾的“藍(lán)色魔眼”組織采取“進(jìn)階升級(jí)”的作戰(zhàn)之術(shù)，這也使得其攻擊輻射面不斷擴(kuò)張。而從另一個(gè)角度看，攻擊技術(shù)的擴(kuò)張，也似乎暗示著攻擊目標(biāo)的逐步改變與壯大。

技能升級(jí)鍛造之下

“藍(lán)色魔眼”欲成為網(wǎng)絡(luò)戰(zhàn)利器

值得一提的是，今年6月，披露的“藍(lán)色魔眼”最新針對(duì)土耳其和敘利亞的攻擊活動(dòng)中，該組織對(duì)庫(kù)爾德人社區(qū)尤其感興趣，而攻擊發(fā)生的時(shí)間恰好與土耳其發(fā)動(dòng)對(duì)敘利亞東北部的軍事攻勢(shì)“和平之泉”行動(dòng)(Operation PeaceSpring)相吻合。

可以想見，在土耳其與庫(kù)爾德展開武裝實(shí)戰(zhàn)軍事行動(dòng)之時(shí)，暗潮涌動(dòng)的網(wǎng)絡(luò)戰(zhàn)也正在進(jìn)行。網(wǎng)絡(luò)戰(zhàn)與軍事實(shí)戰(zhàn)的界限早已模糊，“藍(lán)色魔眼”也或?qū)⒊蔀榫W(wǎng)絡(luò)實(shí)戰(zhàn)的一把重要利器。不得不說(shuō)，此次全新APT組織的披露，無(wú)疑為網(wǎng)絡(luò)安全的世界再蒙一層冰霜。

當(dāng)今，伴隨數(shù)字孿生世界的開啟，網(wǎng)絡(luò)攻擊態(tài)勢(shì)每時(shí)每刻都在影響著現(xiàn)實(shí)物理世界。其中APT攻擊作為高階的網(wǎng)絡(luò)威脅重要一環(huán)，始終貫穿于現(xiàn)實(shí)的大國(guó)政治和軍事博弈之中。威脅之下，誰(shuí)能夠“先下一城”及時(shí)展開應(yīng)對(duì)與防御，誰(shuí)就能在未來(lái)世界大國(guó)博弈之中，贏得“先機(jī)”。

最后，關(guān)于360高級(jí)威脅研究院：

關(guān)于360高級(jí)威脅研究院：是360政企安全集團(tuán)的核心能力支持部門，由360資深安全專家組成，專注于高級(jí)威脅的發(fā)現(xiàn)、防御、處置和研究，曾在全球范圍內(nèi)率先捕獲雙殺、雙星、噩夢(mèng)公式等多起業(yè)界知名的0day在野攻擊，獨(dú)家披露多個(gè)國(guó)家級(jí)APT組織的高級(jí)行動(dòng)，贏得業(yè)內(nèi)外的廣泛認(rèn)可，為360護(hù)航網(wǎng)絡(luò)空間安全提供有力支撐。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）