近日,360追日團隊(Helios Team)、360安全監測與響應中心與360威脅情報中心發佈《藍寶菇(APT-C-12)核危機行動揭露》報告,首次披露了其捕獲的持續8年攻擊中國大陸地區的網絡間諜組織——藍寶菇。
據報告透露,從2011年開始至今,高級攻擊組織藍寶菇(APT-C-12)對我國政府、軍工、科研、金融等重點單位和部門進行了持續的網絡間諜活動。 核工業和科研等相關行業信息是該組織的重點竊取目標。
攻擊持續八年
據360追日團隊介紹,該團隊捕獲的首個藍寶菇組織專用木馬出現在2011年3月左右。截止到目前,360追日團隊已捕獲該組織惡意代碼共達670餘個,其中包括60多個專門用於橫向移動的惡意插件;此外還發現了與該組織相關的40多個C&C域名和IP地址。
由於該網絡間諜組織的相關惡意代碼中出現特有的字符串(Poison Ivy密碼是:NuclearCrisis),結合該組織的攻擊目標特點,360威脅情報中心將該組織的一系列攻擊行動命名為核危機行動(Operation NuclearCrisis)。聯想到核武器爆炸時的蘑菇雲,360威脅情報中心結合該組織的其他特點,以及對APT組織的命名規則,將該組織名為藍寶菇。
截止2018年5月,360追日團隊已經監測到近30個核危機行動攻擊的境內目標。其中,教育科研機構佔比最高,達59.1%,其次是政府機構,佔比為18.2%,國防機構排第三,佔9.1%。其他還有事業單位、金融機構製造業等佔比為4.5%。
360社區
就地域分佈來看,北京地區是核危機行動攻擊的重點區域,其次是上海、海南等地區。從攻擊目標和攻擊的區域分佈來看,藍寶菇的目標是核工業和科研等國防相關信息,這在被捕獲的APT組織中,是比較突出的一點。
攻擊手段更加精細
高級攻擊組織一般都會採用魚叉郵件的攻擊方式。藍寶菇的初始攻擊也主要採用魚叉郵件攜帶二進制可執行文件的攻擊方法:即攻擊者向受害者發送仿冒官方郵件,誘導受害者點擊郵件所攜帶的惡意附件。
360威脅情報專家透露,藍寶菇組織在文件偽裝方面確實下足了功夫,所採用的魚叉郵件更加逼真,受害者往往被安裝後門卻毫不覺察。
以最為頻繁使用的“通信錄”誘餌文件為例:攻擊者使用了RLO控制符,使字符的顯示順序變成從右至左,這樣可以隱藏文件的真實擴展名。除了對誘餌文件的文件名進行精心偽裝外。
閱讀更多 二號娛樂 的文章
