因服务于政治或商业目的,世界各国存在多个知名的APT组织,例如方程式组织、索伦之眼、APT28等。APT攻击往往具有隐蔽性、针对性、攻击手段高明等特点,所以不易被发现,并且带来的危害极大。
近日,360宣布捕获一个连续8年攻击中国大陆地区的APT网络间谍组织——蓝宝菇,该组织主要关注核工业和科研等相关信息,并对我国政府、军工、科研、金融等重点单位和部门进行了持续的网络间谍活动。在由360追日团队、360安全监测与响应中心与360威胁情报中心发布的《蓝宝菇(APT-C-12)核危机行动揭露》报告中,揭示了其攻击手段、攻击目的、攻击的时间历程等。
一场针对中国大陆的“核危机行动”
由于该组织相关恶意代码中出现特有的字符串(Poison Ivy密码是:NuclearCrisis),结合该组织的攻击目标特点,360威胁情报中心将该组织的一系列攻击行动命名为核危机行动(Operation NuclearCrisis)。
目前,360已经监测到核危机行动攻击的境内目标近30个。其中,教育科研机构占比最高,达59.1%,其次是政府机构,占比为18.2%,国防机构排第三,占9.1%。其他还有事业单位、金融机构制造业等占比为4.5%。
据悉,360追日团队捕获的首个蓝宝菇组织专用木马出现在2011年3月左右。目前已总共捕获该组织恶意代码670余个,这些恶意代码可分为4类RAT,细分版本为7种。其中,还包括60余个专门用于横向移动的恶意插件,从功能区分来看也至少有5种。目前已经发现该组织相关的C&C域名、IP数量多达40余个。
根据攻击活动特点,360将蓝宝菇核危机行动分为三个阶段:2011-2012年,核危机行动所使用的主要攻击木马是Poison Ivy,这是一款远程控制木马程序;而到了2013-2014年,Poison Ivy虽然仍在继续使用,但被升级到了几个全新的版本;2014年三季度--2015年,核危机行动开始大量进行横向移动攻击,并从2014年底开始,使用Bfnet后门。
蓝宝菇核危机行动的对抗术与伪装术
据介绍,核危机行动中所使用的专用木马,采用了一定程度的对抗技术。主要表现在两个方面:一方面是杀软对抗技术,一个是反虚拟机技术。例如在杀软对抗技术方面,Poison Ivy母体会判断系统中是否有360、卡巴斯基、瑞星、金山的进程,从而采取不同的后续应对措施。
并且在蓝宝菇的初始攻击中采用了特别针对性的伪装,360发现早期其采用鱼叉邮件携带二进制可执行文件这种攻击方法。攻击者仿冒官方邮件向受害者发送鱼叉邮件,诱导受害者点击邮件所携带的恶意附件。
例如下图为核危机行动鱼叉邮件压缩包中的一个伪装成Word文件的专用木马的图标和文件名截图。该文件伪装成一份通信录文件,当受害者点击打开这个伪装成Word文档的专用木马后,木马会在释放攻击代码的同时,释放一个真正的Word文档。然而该诱饵Word文档打开后的信息内容,其中信息确实是一份详细的通讯录。可见,该组织在文件伪装方面确实下足了功夫。
所以,APT所具备的一系列特点导致对其难以防御,360行业安全研究中心主任裴智勇表示,除了此案中蓝宝菇所采用的攻击手法外,实际上APT还具备多种攻击战术,例如反侦查术、疲劳战术、诱惑战术、假旗行动等。如果攻击者再利用0day漏洞,再加之周密的计划与组织架构保障行动,APT更是难以甚至无法防御。所以这时,APT的发现比防御更重要。
据了解,自2015年5月,360截获并披露针对我国的首个APT组织海莲花以来,截至2018年6月底,360威胁情报中心已累计截获38个针对中国的APT组织,有力地维护了国家与企业的信息安全。
在如今设备多样化、系统复杂化、攻击多元化的时代,裴智勇表示,360正在利用大数据、威胁情报等方法进行高级威胁的发现、检测与防御。
好文章,需要你的鼓励
随着数字化时代的到来,网络安全威胁呈指数级增长。勒索软件、AI驱动的网络攻击和物联网设备漏洞成为主要威胁。企业需要建立全面的风险管理策略,包括风险评估、安全措施实施和持续监控。新兴技术如人工智能、区块链和量子计算为网络安全带来新机遇。组织应重视员工培训、供应链安全、数据治理和事件响应能力建设。
滑铁卢大学研究团队开发出ScholarCopilot,一个革命性的AI学术写作助手。该系统突破传统"先检索后生成"模式,实现写作过程中的动态文献检索和精确引用。基于50万篇arXiv论文训练,引用准确率达40.1%,大幅超越现有方法。在人类专家评估中,引用质量获100%好评,整体表现优于ChatGPT。这项创新为AI辅助学术写作开辟新道路。
AWS Amazon Bedrock负责人Atul Deo正致力于让人工智能软件变得更便宜和更智能。他在12月re:Invent大会前只有六个月时间来证明这一目标的可行性。Deo表示AI领域发展速度前所未有,模型每几周就会改进,但客户只有在经济效益合理时才会部署。为此,AWS推出了提示缓存、智能路由、批处理模式等功能来降低推理成本,同时开发能执行多步骤任务的自主代理软件,将AI应用从聊天机器人转向实际业务流程自动化。
哥伦比亚大学研究团队发布NodeRAG技术,通过异构图结构革新智能问答系统。该方法将文档信息分解为7种节点类型,采用双重搜索机制,在多个权威测试中准确率达89.5%,检索效率提升50%以上,为智能信息检索技术带来重大突破。