蓝宝菇-360威胁情报中心.PDFVIP

 从 2011 年开始持续至今，高级攻击组织蓝宝菇（APT-C-12）对我国政 府、军工、科研、金融等重点单位和部门进行了持续的网络间谍活动。 该组织主要关注核工业和科研等相关信息。被攻击目标主要集中在中国 大陆境内。  360 追日团队捕获的首个蓝宝菇组织专用木马出现在2011 年3 月左右。 目前已总共捕获该组织恶意代码670 余个，其中包括60 余个专门用于 横向移动的恶意插件。目前已经发现该组织相关的CC 域名、IP 数量 多达40 余个。  由于该组织相关恶意代码中出现特有的字符串（Poison Ivy 密码是： NuclearCrisis ），结合该组织的攻击目标特点，360 威胁情报中心将该组 织的一系列攻击行动命名为核危机行动（Operation NuclearCrisis ），考 虑到核武器爆炸时会产生蘑菇云，并结合该组织的一些其他特点及360 威胁情报中心对APT 组织的命名规则，我们将该组织名为蓝宝菇。  截止2018 年5 月，360 追日团队已经监测到核危机行动攻击针对的境 内目标近30 个。其中，教育科研机构占比最高，达59.1%，其次是政 府机构，占比为 18.2%，国防机构排第三，占 9.1% 。其他还有事业单 位、金融机构制造业等占比为4.5% 。 关键词 ：蓝宝菇、核危机、APT 目 录 第一章 综述 1 第二章 攻击目的和受害分析 2 一、 行业分布 2 二、 地域分布 2 第三章 持续的网络间谍活动 3 一、 初始攻击 3 （一） RLO 伪装文档扩展名 3 （二） LNK 文件 5 二、 持续渗透 6 （一） 2011-2012 年 7 （二） 2013-2014 年 8 （三） Bfnet 后门 8 （四） 对抗技术 9 （五） 插件分析 9 三、 CC 分析 11 附录 1 360 追日团队（HELIOS TEAM ）13 附录 2 360 安全监测与响应中心14 附录 3 360 威胁情报中心 15 第一章 综述 从2011 年开始持续至今，高级攻击组织蓝宝菇（APT-C-12）对我国政府、 军工、科研、金融等重点单位和部门进行了持续的网络间谍活动。该组织主 要关注核工业和科研等相关信息。被攻击目标主要集中在中国大陆境内。 360 追日团队捕获的首个蓝宝菇组织专用木马出现在2011 年3 月左右。 目前已总共捕获该组织恶意代码670 余个，这些恶意代码可分为4 类RAT， 细分版本为7 种。其中，还包括60 余个专门用于横向移动的恶意插件，从 功能区分来看也至少有5 种。目前已经发现该组织相关的CC 域名、IP 数量 多达40 余个。 由于该组织相关恶意代码中出现特有的字符串（Poison Ivy 密码是： NuclearCrisis ），结合该组织的攻击目标特点，360 威胁情报中心将该组织的 一系列攻击行动命名为核危机行动（Operation NuclearCrisis ），考虑到核武器 爆炸时会产生蘑菇云，并结合该组织的一些其他特点及360 威胁情报中心对 APT 组织的命名规则，我们将该组织名为蓝宝菇。 在核危机行动针对中国的网络间谍活动中，下述相关时间点值得关注： 1） 2011 年3 月，首次发现与该组织相关的木马，针对政府相关机构进 行攻击。 2 ） 2011 年11 月，对某核工业研究机构进行攻击。 3 ） 2012 年1 月，对某大型科研机构进行攻击。 4 ） 2012 年3 月，对某军事机构进行攻击。 5 ） 2012 年6 月，对国内多所顶尖大学进行攻击。 6 ） 2013 年6 月，对某中央直属机构进行攻击，同时开始使用新类型的