又一APT组织现原形!连续8年针对中国大陆的“核危机行动”被捕获 原创

近日,360宣布捕获一个连续8年攻击中国大陆地区的APT网络间谍组织——蓝宝菇,该组织主要关注核工业和科研等相关信息,并对我国政府、军工、科研、金融等重点单位和部门进行了持续的网络间谍活动。

因服务于政治或商业目的,世界各国存在多个知名的APT组织,例如方程式组织、索伦之眼、APT28等。APT攻击往往具有隐蔽性、针对性、攻击手段高明等特点,所以不易被发现,并且带来的危害极大。

近日,360宣布捕获一个连续8年攻击中国大陆地区的APT网络间谍组织——蓝宝菇,该组织主要关注核工业和科研等相关信息,并对我国政府、军工、科研、金融等重点单位和部门进行了持续的网络间谍活动。在由360追日团队、360安全监测与响应中心与360威胁情报中心发布的《蓝宝菇(APT-C-12)核危机行动揭露》报告中,揭示了其攻击手段、攻击目的、攻击的时间历程等。

一场针对中国大陆的“核危机行动

由于该组织相关恶意代码中出现特有的字符串(Poison Ivy密码是:NuclearCrisis),结合该组织的攻击目标特点,360威胁情报中心将该组织的一系列攻击行动命名为核危机行动(Operation NuclearCrisis)。

又一APT组织现原形!连续8年针对中国大陆的“核危机行动”被捕获

目前,360已经监测到核危机行动攻击的境内目标近30个。其中,教育科研机构占比最高,达59.1%,其次是政府机构,占比为18.2%,国防机构排第三,占9.1%。其他还有事业单位、金融机构制造业等占比为4.5%。

据悉,360追日团队捕获的首个蓝宝菇组织专用木马出现在2011年3月左右。目前已总共捕获该组织恶意代码670余个,这些恶意代码可分为4类RAT,细分版本为7种。其中,还包括60余个专门用于横向移动的恶意插件,从功能区分来看也至少有5种。目前已经发现该组织相关的C&C域名、IP数量多达40余个。

又一APT组织现原形!连续8年针对中国大陆的“核危机行动”被捕获

根据攻击活动特点,360将蓝宝菇核危机行动分为三个阶段:2011-2012年,核危机行动所使用的主要攻击木马是Poison Ivy,这是一款远程控制木马程序;而到了2013-2014年,Poison Ivy虽然仍在继续使用,但被升级到了几个全新的版本;2014年三季度--2015年,核危机行动开始大量进行横向移动攻击,并从2014年底开始,使用Bfnet后门。

蓝宝菇核危机行动的对抗术与伪装术

据介绍,核危机行动中所使用的专用木马,采用了一定程度的对抗技术。主要表现在两个方面:一方面是杀软对抗技术,一个是反虚拟机技术。例如在杀软对抗技术方面,Poison Ivy母体会判断系统中是否有360、卡巴斯基、瑞星、金山的进程,从而采取不同的后续应对措施。

并且在蓝宝菇的初始攻击中采用了特别针对性的伪装,360发现早期其采用鱼叉邮件携带二进制可执行文件这种攻击方法。攻击者仿冒官方邮件向受害者发送鱼叉邮件,诱导受害者点击邮件所携带的恶意附件。

例如下图为核危机行动鱼叉邮件压缩包中的一个伪装成Word文件的专用木马的图标和文件名截图。该文件伪装成一份通信录文件,当受害者点击打开这个伪装成Word文档的专用木马后,木马会在释放攻击代码的同时,释放一个真正的Word文档。然而该诱饵Word文档打开后的信息内容,其中信息确实是一份详细的通讯录。可见,该组织在文件伪装方面确实下足了功夫。

又一APT组织现原形!连续8年针对中国大陆的“核危机行动”被捕获

所以,APT所具备的一系列特点导致对其难以防御,360行业安全研究中心主任裴智勇表示,除了此案中蓝宝菇所采用的攻击手法外,实际上APT还具备多种攻击战术,例如反侦查术、疲劳战术、诱惑战术、假旗行动等。如果攻击者再利用0day漏洞,再加之周密的计划与组织架构保障行动,APT更是难以甚至无法防御。所以这时,APT的发现比防御更重要。

又一APT组织现原形!连续8年针对中国大陆的“核危机行动”被捕获

据了解,自2015年5月,360截获并披露针对我国的首个APT组织海莲花以来,截至2018年6月底,360威胁情报中心已累计截获38个针对中国的APT组织,有力地维护了国家与企业的信息安全。

在如今设备多样化、系统复杂化、攻击多元化的时代,裴智勇表示,360正在利用大数据、威胁情报等方法进行高级威胁的发现、检测与防御。

来源:至顶网安全频道

0赞

好文章,需要你的鼓励

2018

07/09

10:46

分享

点赞

邮件订阅
白皮书