大家好,自我介绍一下:

我是蓝宝菇。我是 . . .

啥?

你以为我是蘑菇?

我是蓝宝菇,慌的一比,蓝瘦又香菇!

不不不不,纠正一下,我们是一个持续8年攻击中国大陆地区的网络间谍组织APT-C-12。可以说非常执着了....哦,对我们叫俗称蓝宝菇。

哈哈对于我们这一搞又坑爹的名字的缘由

360的团队专门有研究过

命名的艺术

事实上,他们说APT组织的命名并没有统一的规则或规范,但相关机构在命名过程一般会参考三个原则:

谁发现,谁命名;

APT组织攻击方式或C&C服务器的特点;

APT攻击组织可能的政治及地缘背景猜测。

我是蓝宝菇,慌的一比,蓝瘦又香菇!

在给APT组织命名时除了会参考上述三个原则,

也会带上自己的“设计”。

比如:

魔幻熊、灰熊大草原、蜥蜴小组、拉撒路、洋葱狗

对APT组织及其行动的命名大致可分为三个系列:

幻兽系(攻击境外目标的境外组织,使用各种传说中的,或者是虚拟的动物形象来命名,如美人鱼、人面狮等。)

我是蓝宝菇,慌的一比,蓝瘦又香菇!

魔株系(攻击境内目标的境外组织,使用各种传说中的,或者是虚拟的植物形象来命名,如海莲花、摩诃草、蔓灵花等。)

超人系(攻击境内目标的境内组织,使用各种虚拟的,具有超能力的人体器官来命名,如黄金眼。)

我是蓝宝菇,慌的一比,蓝瘦又香菇!

由于我们的相关恶意代码中出现特有的字符串(PoisonIvy密码是:NuclearCrisis),结合该组织的攻击目标特点,360威胁情报中心将我们的攻击行动命名为核危机行动(OperationNuclearCrisis)。

联想到核武器爆炸时的蘑菇云,

360威胁情报中心结合我们组织的其他特点,

以及对APT组织的命名规则,

将我们命名为蓝宝菇。

我是蓝宝菇,慌的一比,蓝瘦又香菇!

但是看似萌萌哒的我们

最近我们最近却“栽”了...

真的是蓝瘦又香菇

我是蓝宝菇,慌的一比,蓝瘦又香菇!

最近我们被360公司“盯”上了

事情是这样的 . . .

前几天,360安全监测与响应中心,360威胁情报中心与360追日团队(Helios Team)联合发布《蓝宝菇(APT-C-12)核危机行动揭露》报告。

我是蓝宝菇,慌的一比,蓝瘦又香菇!

首次披露了捕获我们的全过程

我是蓝宝菇,慌的一比,蓝瘦又香菇!

我们这次攻击中国大陆地区的行动就此瘫痪。

想想我们当年的“战绩”

也是很厉害的

还记得那是2011年3月 . . .

我们第一次对用木马,针对政府相关机构进行攻击。得手的我们由于自己的贪念,又一次又一次的进行了攻击。

一次比一次越发的肆无忌惮...

我是蓝宝菇,慌的一比,蓝瘦又香菇!

虽然名字有点可爱,

但这个我们也是很“猛”的,

看一波紧接着 . . . 我们的“战绩”:

2011年11月,我们对某核工业研究机构进行攻击。

2012年1月,我们对某大型科研机构进行攻击。

2012年3月,我们对某军事机构进行攻击。

2012年6月,我们对国内多所顶尖大学进行攻击。

2013年6月,我们对某中央直属机构进行攻击,同时开始使用新类型的RAT。

2014年8月,我们使用5种以上的横向移动恶意代码针对重点目标机构进行大量横向移动攻击。

2014年12月,我们使用了新的RAT,被大家将其命名为Bfnet,该后门具备窃取指定扩展名文档等重要功能。

2015年9月,我们针对多个国家的华侨办事机构进行攻击。

2018年4月,我们针对国内某重要敏感金融机构发动鱼叉邮件攻击。

我是蓝宝菇,慌的一比,蓝瘦又香菇!

持续了八年

我们对中国政府、军工、科研、金融等

重点单位和部门进行了持续的网络间谍活动。

核工业和科研等相关行业信息

是我们的重点窃取目标。

我是蓝宝菇,慌的一比,蓝瘦又香菇!

大约在7年前 . . .

我们使用的专用木马被360的一个叫追日团队捕获了。截止到目前,360追日团队已捕获我们编写的恶意代码共达670余个,其中包括60多个专门用于横向移动的恶意插件;还被发现了与我们组织相关的40多个C&C域名和IP地址。

截止2018年5月,360发现了我们近30个核危机行动攻击的境内目标。其中,教育科研机构占比最高,达59.1%,其次是政府机构,占比为18.2%,国防机构排第三,占9.1%。其他还有事业单位、金融机构制造业等占比为4.5%。

我是蓝宝菇,慌的一比,蓝瘦又香菇!

就地域分布来看,北京地区是核危机行动攻击的重点区域,其次是上海、海南等地区。

从攻击目标和攻击的区域分布来看,我们的目标是核工业和科研等国防相关信息,这在被捕获的APT组织中,是比较突出的一点。

我是蓝宝菇,慌的一比,蓝瘦又香菇!

这次我们的攻击手段更加精细 . . .

高级攻击组织一般都会采用鱼叉邮件的攻击方式。我们蓝宝菇的初始攻击也主要采用鱼叉邮件携带二进制可执行文件的攻击方法:即攻击者向受害者发送仿冒官方邮件,诱导“小白鼠”们点击邮件...吼吼吼!

我是蓝宝菇,慌的一比,蓝瘦又香菇!

而且我们在文件 伪装 方面

确实下足了功夫,

所采用的鱼叉邮件更加逼真,

受害者往往被安装后门却毫不觉察。

以最为频繁使用的“通信录”诱饵文件为例:我们使用了RLO控制符,使字符的显示顺序变成从右至左,这样可以隐藏文件的真实扩展名。除了对诱饵文件的文件名进行精心伪装外,我们对诱饵文件的内容也进行了精心的设计。

我是蓝宝菇,慌的一比,蓝瘦又香菇!

受害者打开的Word文档的内容确实为相关机构工作人员或相关培训参与者的详细通信录信息(如截图所示)。

这使得大家更加难以识破其中的攻击行为。

我是蓝宝菇,慌的一比,蓝瘦又香菇!

为什么我们攻击的如此精准?

那是因为我们...

已经对攻击的目标机构或个人有了特别充分的了解

我是蓝宝菇,慌的一比,蓝瘦又香菇!

此外,我们使用的专用木马还采用了一定程度的对抗技术,比如对抗杀毒软件和对抗轻量级虚拟机的技术,降低被发现的概率。

但是...无论我们

如何天衣无缝的策划

我们还是被360逮住了...

我是蓝宝菇,蓝瘦又香菇!

我是蓝宝菇,慌的一比,蓝瘦又香菇!

注:自2015年5月,360截获并披露针对我国的首个APT组织海莲花以来,截至2018年6月底,360威胁情报中心已累计截获38个针对中国的APT组织。