360捕获持续8年针对我国的网络间谍组织
近日,360追日团队(Helios Team)、360安全监测与响应中心与360威胁情报中心发布《蓝宝菇(APT-C-12)核危机行动揭露》报告,首次披露了其捕获的持续8年攻击中国大陆地区的网络间谍组织——蓝宝菇。
据报告透露,从2011年开始至今,高级攻击组织蓝宝菇(APT-C-12)对我国政府、军工、科研、金融等重点单位和部门进行了持续的网络间谍活动。 核工业和科研等相关行业信息是该组织的重点窃取目标。
攻击持续八年
据360追日团队介绍,该团队捕获的首个蓝宝菇组织专用木马出现在2011年3月左右。截止到目前,360追日团队已捕获该组织恶意代码共达670余个,其中包括60多个专门用于横向移动的恶意插件;此外还发现了与该组织相关的40多个C&C域名和IP地址。
由于该网络间谍组织的相关恶意代码中出现特有的字符串(Poison Ivy密码是:NuclearCrisis),结合该组织的攻击目标特点,360威胁情报中心将该组织的一系列攻击行动命名为核危机行动(Operation NuclearCrisis)。联想到核武器爆炸时的蘑菇云,360威胁情报中心结合该组织的其他特点,以及对APT组织的命名规则,将该组织名为蓝宝菇。
截止2018年5月,360追日团队已经监测到近30个核危机行动攻击的境内目标。其中,教育科研机构占比最高,达59.1%,其次是政府机构,占比为18.2%,国防机构排第三,占9.1%。其他还有事业单位、金融机构制造业等占比为4.5%。
就地域分布来看,北京地区是核危机行动攻击的重点区域,其次是上海、海南等地区。从攻击目标和攻击的区域分布来看,蓝宝菇的目标是核工业和科研等国防相关信息,这在被捕获的APT组织中,是比较突出的一点。
攻击手段更加精细
高级攻击组织一般都会采用鱼叉邮件的攻击方式。蓝宝菇的初始攻击也主要采用鱼叉邮件携带二进制可执行文件的攻击方法:即攻击者向受害者发送仿冒官方邮件,诱导受害者点击邮件所携带的恶意附件。
360威胁情报专家透露,蓝宝菇组织在文件伪装方面确实下足了功夫,所采用的鱼叉邮件更加逼真,受害者往往被安装后门却毫不觉察。
以最为频繁使用的“通信录”诱饵文件为例:攻击者使用了RLO控制符,使字符的显示顺序变成从右至左,这样可以隐藏文件的真实扩展名。除了对诱饵文件的文件名进行精心伪装外,攻击者对诱饵文件的内容也进行了精心的设计。
受害者打开的Word文档的内容确实为相关机构工作人员或相关培训参与者的详细通信录信息(如截图所示)。这使得被攻击者更加难以识破其中的攻击行为。
考虑到被攻击目标本身所处机构的敏感性,安全分析人员认为,这说明攻击者在发起攻击的过程中,已经对攻击的目标机构或个人有了比较充分的了解。
此外,该组织使用的专用木马还采用了一定程度的对抗技术,比如对抗杀毒软件和对抗轻量级虚拟机的技术,降低被发现的概率。
据了解,自2015年5月,360截获并披露针对我国的首个APT组织海莲花以来,截至2018年6月底,360威胁情报中心已累计截获38个针对中国的APT组织,有力地维护了国家与企业的信息安全。
往期回顾
https://b1.qikucdn.com/static/image/hrline/line5.png
医疗行业网络安全工作的三个关键行业解读 | 网络安全地位提升 核电企业如何应对?深职院与360企业安全达成校企合作
很想知道,它得逞了吗?窃取到关键信息了没有? 这就是我买360的原因,产品不是主因。主要买的是情怀 牛X的事我从来不吹,“捕获”二字用的不当,因为360不是派出所,不可能派人去抓网络间谍,最多是协助! 360好样的,终于办了件正事~ 360牛鼻!继续抓网特 360厉害 支持!360厉害😄 好样的 震惊震惊震惊😱😱😱 厉害,支持! 这次要表扬360 这就要表扬一下了 加油360 支持!保卫。 表扬一下 360大赞!! 支持360 为360点赞 支持,支持,这是好事!真棒! 厉害了360 {:4_106:} {:4_90:} {:4_89:} 这个牛逼了 支持360 厉害了,我的360 厉害了我的360 内鬼汉奸难除 隐形的战争真是无处不在,好多事是我们小老百姓想不到的。 厉害了,360 历害了,我的360。 谁来解释一下横向移动是什么 这才是360,赞👍