揭秘网络黑森林灭世魔眼 蓝色魔眼直指我国关键机构发起攻击

本文转自【国际安全智库】；

阿尔文·托夫勒的《第三次浪潮》曾提到：“谁掌握了信息，控制了网络，谁就将拥有整个世界。”正值网络战时代，每个人都无法独善其身。亦如这片网络“修罗场”的战役，也从未停止……近日，360安全大脑国内首度捕获和披露一名为“蓝色魔眼”的APT组织（APT-C-41），指出其针对我国相关重要机构发动首起定向攻击行动。而经360安全大脑的进一步溯源发现，看似网络键盘上的较量竟与军事实战密切相关，一桩桩有关“蓝色魔眼”的网空博弈更是分外扑簌迷离……

360安全大脑首揭“蓝色魔眼”（APT-C-41）

目标锁定我国相关重要机构

昨日，360安全大脑捕获和披露一例针对我国展开攻击活动的神秘APT组织，并将其命名为“蓝色魔眼”，分配全新编号APT-C-41。通过进一步分析研判发现，此次攻击属于该黑客组织罕见针对我国相关重要机构发起的首起定向攻击行动。

截止目前，该行动的攻击意图尚未可知，但结合360安全大脑威胁情报，我们发现：这一名为“蓝色魔眼”（APT-C-41）的黑客组织并非“初出茅庐”，从攻击活动及范围上看更是不容小觑。

谈起“蓝色魔眼”（APT-C-41）组织，最早的攻击活动可以追溯到2012年，攻击区域聚焦在对意大利、土耳其、比利时、叙利亚、欧洲等地区和国家之中。具体信息如下：

2016年10月，卡巴斯基 发布了《on-the-strongpity-waterhole-attacks-targeting-italian-and-belgian-encryption-users》，披露了该组织针对意大利和比利时地区的APT攻击活动。

同年12月14号，微软的安全情报报告中披露了该组织利用 Flash Player 零日漏洞针对欧美地区展开Promethium行动和Neodymium行动。

2020年6月，Bitdefender研究人员披露该组织针对叙利亚和土耳其库尔德社区展开水坑攻击，用于监视和情报泄露目的。

不难发现，“蓝色魔眼”（APT-C-41）组织将其目光主要聚焦于欧洲国家等地区之中。在此，我们可以看出360安全大脑对该组织命名的些许门道。

据言，“蓝眼睛”是土耳其人最喜爱的护身符和吉祥物，也被称作“恶魔之眼”或“辟邪珠”。而该组织正是疑似出自土耳其地区，故而360安全大脑将这例新APT组织命名为“蓝色魔眼”， 具有强烈的地域色彩。

与此同时，在长达8年的时间里，“蓝色魔眼”（APT-C-41）组织的攻击战备资源充足，具备0day漏洞作战能力，拥有一套复杂的模块化攻击武器库，并从2016年至今持续迭代升级。而今年极为活跃的V4版本后门程序，更成为该组织展开攻击的“必杀技”。

新型武器V4后门程序揭秘

“蓝色魔眼”组织步步谋划发动攻击

正所谓，凡是攻击，必会留下痕迹。想要全面了解“蓝色魔眼”一直神秘组织，技战术分析自然不可或缺。而在“蓝色魔眼”最新攻击武器库——V4后门程序的分析中，我们就可以窥知一二。

其一，缜密完善的攻击技战术。 “蓝色魔眼”（APT-C-41）组织在攻破主机后，会在失陷主机上部署最新V4版本的后门程序，在内存中加载各种功能插件进行攻击活动。该后门程序的执行流程如下图所示:

执行流程如下：

‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍Skype的升级服务程序被持久驻留执行

Skype的升级程序加载同路径下的wtsapi32.dll执行

wtsapi32.dll读取注册表HKCR\Software\Appdatalow\Software\Skype下的数据，并解密执行Loader组件

Loader组件读取注册表HKCR\Software\Appdatalow\Software\Skype下数据，解密执行其他的攻击插件‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

各模块对应功能如下表所示:

其二，不断进阶的攻击组件。 正所谓，技术革新才是发展之道，攻防两端的博弈更是谙于此道。八年间，“蓝色魔眼”的攻击进化从未停止。

SkypeUpdate Service

由于原版的Skype升级服务程序在加载wtsapi32.dll动态库时未对其合法性进行验证，被该组织作为DLL恶意荷载的白利用加载程序。

初始加载器-MiniLoader

该组件的模块名为MiniLoader，组件通过Skype更新服务程序的加载执行，主要功能是通过解密注册表HKCU\Software\AppDataLow\Software\Skype数据，获得插件模块并加载功能插件Loader。MiniLoader文件信息如下：

插件-Loader

Loader为EXE文件类型，是负责解密加载其他功能插件的核心组件。在其main函数中，首先加载序号为大于2的功能插件，然后加载序号为2的通信功能插件。

插件-通信后门

通信组件模块名为Comti.dll，主要负责命令控制和数据传输，利用Winnet API上传其他插件模块所产生的数据，如屏幕截图，键盘记录等信息，以及负责植入后续攻击组件。攻击者会使用后门版本号加C盘VolumeSerialNumber计算设备唯一标识符，用以标记中招机器。

插件-磁盘文件信息搜集

该组件模块名为lngwyztn.dll，主要负责收集中招计算机文件信息。

插件-屏幕监控

该组件模块名为scpctr.dll，主要负责收集中招计算机指定屏幕截图信息。截屏的图片以bmp格式打包到zip中，再将zip数据加密为*.tbl的文件保存。

插件-键盘监控

该组件模块名为kltgtr.dll，主要负责收集中招用户计算机的键盘记录信息。

插件-磁盘文件窃取

该组件模块名为whtnwfc.dll，主要负责收集中招计算机指定文件的文件内容。

可见，从“完善的攻击技战术”到“每一个攻击组件”，狡猾的“蓝色魔眼”组织采取“进阶升级”的作战之术，这也使得其攻击辐射面不断扩张。而从另一个角度看，攻击技术的扩张，也似乎暗示着攻击目标的逐步改变与壮大。

技能升级锻造之下

“蓝色魔眼”欲成为网络战利器

掌握兵器之道，才可更好应战。不断的进阶锻造“蓝色魔眼”很快加入到了网络战修罗场之中。看似小小的网络攻击也顺势升级为国家级网络对抗。

在今年6月，披露的“蓝色魔眼”最新针对土耳其和叙利亚的攻击活动中，该组织对库尔德人社区尤其感兴趣，而攻击发生的时间恰好与土耳其发动对叙利亚东北部的军事攻势“和平之泉”行动（OperationPeaceSpring）相吻合。

可以想见，在土耳其与库尔德展开武装实战军事行动之时，暗潮涌动的网络战也正在进行。网络战与军事实战的界限早已模糊，“蓝色魔眼”也或将成为网络实战的一把重要利器。不得不说，此次全新APT组织的披露，无疑令网络安全世界再蒙一层冰霜。

智 库 时 评

当今，伴随数字孪生世界的开启，网络攻击态势每时每刻都在影响着现实物理世界。其中APT攻击作为高阶的网络威胁重要一环，始终贯穿于现实的大国政治和军事博弈之中。

不得不猜想，此次“蓝色魔眼”组织对我国展开攻击的真正目的所在。但无论如何网络主权如国家主权一样不容得半点侵犯。威胁之下，谁能够“先下一城”及时展开应对与防御，谁就能在未来世界大国博弈之中，赢得“先机”。

‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍最后，关于360高级威胁研究院：

360政企安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究，曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露多个国家级APT组织的高级行动，赢得业内外的广泛认可，为360护航网络空间安全提供有力支撑。‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍