又一APT组织现原形！连续8年针对中国大陆的“核危机行动”被捕获

因服务于政治或商业目的，世界各国存在多个知名的APT组织，例如方程式组织、索伦之眼、APT28等。APT攻击往往具有隐蔽性、针对性、攻击手段高明等特点，所以不易被发现，并且带来的危害极大。

近日，360宣布捕获一个连续8年攻击中国大陆地区的APT网络间谍组织——蓝宝菇，该组织主要关注核工业和科研等相关信息，并对我国政府、军工、科研、金融等重点单位和部门进行了持续的网络间谍活动。在由360追日团队、360安全监测与响应中心与360威胁情报中心发布的《蓝宝菇（APT-C-12）核危机行动揭露》报告中，揭示了其攻击手段、攻击目的、攻击的时间历程等。

一场针对中国大陆的“核危机行动”

由于该组织相关恶意代码中出现特有的字符串（Poison Ivy密码是：NuclearCrisis），结合该组织的攻击目标特点，360威胁情报中心将该组织的一系列攻击行动命名为核危机行动（Operation NuclearCrisis）。

目前，360已经监测到核危机行动攻击的境内目标近30个。其中，教育科研机构占比最高，达59.1%，其次是政府机构，占比为18.2%，国防机构排第三，占9.1%。其他还有事业单位、金融机构制造业等占比为4.5%。

据悉，360追日团队捕获的首个蓝宝菇组织专用木马出现在2011年3月左右。目前已总共捕获该组织恶意代码670余个，这些恶意代码可分为4类RAT，细分版本为7种。其中，还包括60余个专门用于横向移动的恶意插件，从功能区分来看也至少有5种。目前已经发现该组织相关的C&C域名、IP数量多达40余个。

根据攻击活动特点，360将蓝宝菇核危机行动分为三个阶段：2011-2012年，核危机行动所使用的主要攻击木马是Poison Ivy，这是一款远程控制木马程序；而到了2013-2014年，Poison Ivy虽然仍在继续使用，但被升级到了几个全新的版本；2014年三季度--2015年，核危机行动开始大量进行横向移动攻击，并从2014年底开始，使用Bfnet后门。

蓝宝菇核危机行动的对抗术与伪装术

据介绍，核危机行动中所使用的专用木马，采用了一定程度的对抗技术。主要表现在两个方面：一方面是杀软对抗技术，一个是反虚拟机技术。例如在杀软对抗技术方面，Poison Ivy母体会判断系统中是否有360、卡巴斯基、瑞星、金山的进程，从而采取不同的后续应对措施。

并且在蓝宝菇的初始攻击中采用了特别针对性的伪装，360发现早期其采用鱼叉邮件携带二进制可执行文件这种攻击方法。攻击者仿冒官方邮件向受害者发送鱼叉邮件，诱导受害者点击邮件所携带的恶意附件。

例如下图为核危机行动鱼叉邮件压缩包中的一个伪装成Word文件的专用木马的图标和文件名截图。该文件伪装成一份通信录文件，当受害者点击打开这个伪装成Word文档的专用木马后，木马会在释放攻击代码的同时，释放一个真正的Word文档。然而该诱饵Word文档打开后的信息内容，其中信息确实是一份详细的通讯录。可见，该组织在文件伪装方面确实下足了功夫。

所以，APT所具备的一系列特点导致对其难以防御，360行业安全研究中心主任裴智勇表示，除了此案中蓝宝菇所采用的攻击手法外，实际上APT还具备多种攻击战术，例如反侦查术、疲劳战术、诱惑战术、假旗行动等。如果攻击者再利用0day漏洞，再加之周密的计划与组织架构保障行动，APT更是难以甚至无法防御。所以这时，APT的发现比防御更重要。

据了解，自2015年5月，360截获并披露针对我国的首个APT组织海莲花以来，截至2018年6月底，360威胁情报中心已累计截获38个针对中国的APT组织，有力地维护了国家与企业的信息安全。

在如今设备多样化、系统复杂化、攻击多元化的时代，裴智勇表示，360正在利用大数据、威胁情报等方法进行高级威胁的发现、检测与防御。