“伏特臺(tái)風(fēng)”關(guān)聯(lián)勒索病毒團(tuán)伙，360推安全云防勒索解決方案

次閱讀 ? 作者：網(wǎng)絡(luò)? 來(lái)源：網(wǎng)絡(luò) ? 2024-04-15

摘要： 360獨(dú)家揭秘！“伏特臺(tái)風(fēng)”全球首度歸因，溯源關(guān)聯(lián)勒索病毒團(tuán)伙

2024年2月1日，美國(guó)眾議院中國(guó)問(wèn)題特別委員會(huì)圍繞2023年5月被美國(guó)微軟公司披露的名為“伏特臺(tái)風(fēng)”（Volt Typhoon）且所謂“具有中國(guó)政府支持背景”的黑客組織展開(kāi)討論，稱其對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施發(fā)動(dòng)了網(wǎng)絡(luò)攻擊并試圖進(jìn)一步實(shí)施破壞，給美國(guó)國(guó)家安全造成嚴(yán)重威脅。
實(shí)際上，早在2023年5月相關(guān)“披露”出現(xiàn)時(shí)，中國(guó)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心已第一時(shí)間聯(lián)合360數(shù)字安全集團(tuán)成立技術(shù)團(tuán)隊(duì)開(kāi)展調(diào)查工作，全程參與此案技術(shù)分析。技術(shù)團(tuán)隊(duì)通過(guò)對(duì)相關(guān)報(bào)告的惡意程序樣本技術(shù)特征進(jìn)行分析后發(fā)現(xiàn)，樣本并無(wú)表現(xiàn)出明確的國(guó)家背景黑客組織行為特征，而是與勒索病毒等網(wǎng)絡(luò)犯罪團(tuán)伙的關(guān)聯(lián)程度明顯。“伏特臺(tái)風(fēng)”黑客組織具有“中國(guó)政府支持背景”純屬栽贓陷害，此舉意圖以不實(shí)歸因打壓中國(guó)對(duì)外形象與發(fā)展。

歸因分析指向“暗黑力量”
一直以來(lái)，網(wǎng)絡(luò)攻擊活動(dòng)的歸因分析都是國(guó)際性難題。“伏特臺(tái)風(fēng)”這一名稱和歸因都源自美國(guó)微軟公司的技術(shù)分析報(bào)告和五眼聯(lián)盟發(fā)布的聯(lián)合預(yù)警通報(bào)，但上述報(bào)告并沒(méi)有給出詳細(xì)的歸因分析過(guò)程和根據(jù)，且報(bào)告中也提及，黑客使用逃避檢測(cè)技術(shù)為取證和溯源工作帶來(lái)較大困難。
360數(shù)字安全集團(tuán)聯(lián)合中國(guó)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心克服重重困難，通過(guò)對(duì)報(bào)告給出的相關(guān)攻擊活動(dòng)技術(shù)特征（IoC）進(jìn)行溯源分析，發(fā)現(xiàn)相關(guān)惡意程序樣本關(guān)聯(lián)多個(gè)IP地址。這些IP地址與很多的網(wǎng)絡(luò)攻擊事件相關(guān)，并且也存在多個(gè)IP地址與同一攻擊事件或網(wǎng)絡(luò)安全風(fēng)險(xiǎn)存在關(guān)聯(lián)的現(xiàn)象。其中與上述5個(gè)IP地址都有關(guān)聯(lián)的網(wǎng)絡(luò)攻擊事件報(bào)告是美國(guó)威脅盟（ThreatMon）公司于2023年4月11日發(fā)布的《關(guān)于“暗黑力量”（Dark Power）勒索病毒團(tuán)伙研究報(bào)告》。
撥開(kāi)層層障眼法，上述惡意程序樣本技術(shù)特征與這一名為“暗黑力量”的勒索病毒網(wǎng)絡(luò)犯罪團(tuán)伙關(guān)聯(lián)程度密切。報(bào)告顯示，“暗黑力量”首次被發(fā)現(xiàn)攻擊活動(dòng)時(shí)間為2023年1月，僅2023年3月就至少有10個(gè)以上的全球范圍內(nèi)機(jī)構(gòu)遭到該組織攻擊并被勒索。受害機(jī)構(gòu)所在國(guó)家包括阿爾及利亞、埃及、捷克、土耳其、以色列、秘魯、法國(guó)、美國(guó)等。
該組織使用典型的“雙重勒索”方式，即：先入侵受害單位的內(nèi)網(wǎng)，進(jìn)行數(shù)據(jù)竊取，竊取到重要數(shù)據(jù)后，再最后進(jìn)行加密勒索，同時(shí)威脅用戶如果不按時(shí)繳納贖金，將在網(wǎng)絡(luò)上公開(kāi)泄露受害單位的敏感內(nèi)部數(shù)據(jù)。最為關(guān)鍵的是，該組織同樣在攻擊中部分使用了“無(wú)文件攻擊”技術(shù)，即使用Windows操作系統(tǒng)自帶的管理工具（WMI）關(guān)閉系統(tǒng)進(jìn)程，并在攻擊結(jié)束前對(duì)攻擊過(guò)程中產(chǎn)生的相關(guān)系統(tǒng)日志信息進(jìn)行清理，最后留下一個(gè)勒索信告知受害單位。

暗黑力量組織的勒索信

另外，通過(guò)對(duì)美國(guó)流明科技公司發(fā)布報(bào)告中包含的惡意程序樣本和IP地址等技術(shù)特征進(jìn)行檢索，并未找到其與微軟公司和五眼聯(lián)盟預(yù)警通報(bào)中所述技術(shù)特征之間的關(guān)聯(lián)關(guān)系。
至此，技術(shù)團(tuán)隊(duì)判定來(lái)自“伏特臺(tái)風(fēng)”的惡意程序樣本并未表現(xiàn)出明確的國(guó)家背景黑客組織行為特征，反是與“暗黑力量”勒索病毒等網(wǎng)絡(luò)犯罪團(tuán)伙的關(guān)聯(lián)程度明顯。在此情況下，僅憑受害單位和攻擊者的攻擊技戰(zhàn)術(shù)這些模糊的歸因因素就將“伏特臺(tái)風(fēng)”扣上所謂“中國(guó)政府黑客”的帽子未免過(guò)于牽強(qiáng)。

以安全大模型為核心構(gòu)建 360安全云防勒索解決方案
近年，隨著網(wǎng)絡(luò)武器泄露和攻防技術(shù)快速擴(kuò)散導(dǎo)致網(wǎng)絡(luò)犯罪分子的技術(shù)水平顯著提高。部分勒索病毒組織和僵尸網(wǎng)絡(luò)運(yùn)營(yíng)者擁有的資源和技術(shù)能力已經(jīng)超過(guò)一般國(guó)家，甚至已經(jīng)能夠達(dá)到網(wǎng)絡(luò)戰(zhàn)水平。同時(shí)，勒索病毒組織與僵尸網(wǎng)絡(luò)運(yùn)營(yíng)者早已建立了成熟的地下黑色產(chǎn)業(yè)合作模式，在利益的驅(qū)使下，這些網(wǎng)絡(luò)犯罪團(tuán)伙活動(dòng)日益猖獗，成為全球各國(guó)面臨的共同威脅。
面對(duì)當(dāng)前復(fù)雜的網(wǎng)絡(luò)威脅，360基于多年攻防實(shí)戰(zhàn)經(jīng)驗(yàn)和能力推出以安全大模型為核心的360安全云防勒索解決方案，通過(guò)云化數(shù)據(jù)、探針、專家、平臺(tái)和大模型能力，開(kāi)放共享給廣大政企機(jī)構(gòu)，構(gòu)建了高效預(yù)防、自動(dòng)監(jiān)測(cè)、智能處置的勒索病毒防御體系，實(shí)現(xiàn)多方位、全流程、體系化的勒索防護(hù)。
未來(lái)，360將持續(xù)發(fā)揮自身技術(shù)優(yōu)勢(shì)和能力優(yōu)勢(shì)，持續(xù)完善以安全大模型為核心的安全云解決方案，守護(hù)國(guó)家網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全，筑牢數(shù)字安全屏障。

詳情請(qǐng)關(guān)注安在新媒體，一家信息安全領(lǐng)域媒體，以“做有內(nèi)涵的泛黑客媒體”為方向，線上通過(guò)自媒體，采訪網(wǎng)絡(luò)安全領(lǐng)域人物梳理行業(yè)脈絡(luò)，通過(guò)介紹他們的經(jīng)歷、感悟、對(duì)行業(yè)的看法等來(lái)剖析網(wǎng)絡(luò)安全發(fā)展的脈絡(luò)；致力于建立完整的信息發(fā)布矩陣，覆蓋微信、微博、知乎等主流自媒體渠道。

官網(wǎng)：http://anzerclub.com/

市場(chǎng)部聯(lián)系（廠商）：徐倩（微信：Madeline_Sue）

市場(chǎng)部聯(lián)系（甲方）：Tina（微信：xuqingqing823125689 ）及 Enco（微信：Anzer10）

h漫全彩纯肉无码网站,欧美日韩作爱视频免费,日本在线国产精品,亚洲三级精品在线观看

“伏特臺(tái)風(fēng)”關(guān)聯(lián)勒索病毒團(tuán)伙，360推安全云防勒索解決方案