歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

BlueMushroom組織最新動向及近年攻擊活動揭露

來源:本站整理 作者:佚名 時間:2018-12-12 TAG: 我要投稿

BlueMushroom又名“藍寶菇”,具備地緣政治背景,自2011年開始活躍,長期針對我國政府、教育、海洋、貿易、軍工、科研和金融等重點單位和部門開展持續的網絡間諜活動。
本報告內容主要包含BlueMushroom組織分析,其最新活動分析,以及首次公開的該組織近年的攻擊活動。部分發現如下:
根據微步在線威脅情報云,BlueMushroom持續活躍,最近于2018年11月初前后發起過多次攻擊,受害者包含APEC等大型會議相關目標。
BlueMushroom經常使用各種會議、智庫和期刊的采訪和約稿等作為誘餌,以偽裝成文件夾和Word文檔的可執行文件,以及包含PowerShell腳本的LNK文件作為木馬投遞載體。其目的是竊取目標機器上的jpg、txt、eml、doc*、xls*、ppt*、pdf、wps、wpp和et格式文件,和進一步的滲透。
2015年至今,BlueMushroom主要使用自己開發的后門進行攻擊,該后門的一大特征是會刪除WPS相關組件程序,以及通過修改LNK文件實現持久化。
BlueMushroom比較關注亞太政治,北京和上海等地是其重點關注地區。綜合分析其攻擊目標,木馬工具等信息,判斷BlueMushroom可能具備亞太地緣政治背景。
微步在線通過對相關樣本、IP和域名的溯源分析,共提取11條相關IOC,可用于威脅情報檢測。微步在線的威脅情報平臺(TIP)、威脅情報訂閱、API等均已支持此次攻擊事件和團伙的檢測。
詳情
微步在線長期跟蹤全球150多個黑客組織,其中包含多個長期針對我國進行攻擊的APT組織。近期,微步在線監測到具備地緣政治背景的APT組織BlueMushroom針對我國的多起攻擊活動。在具體的攻擊(多為魚叉式網絡釣魚)中,BlueMushroom一般會制作與目標高度相關的誘餌,利用偽裝成文件夾和Word文檔的可執行文件,以及包含PowerShell腳本的LNK文件作為木馬投遞載體。
最新活動
2018年10月底至11月初,微步在線監測到BlueMushroom針對我國發起了多次定向攻擊,其中受害者包含APEC等大型會議相關目標。以針對APEC相關目標的攻擊為例,攻擊者使用偽裝為文件夾的可執行文件作為木馬投遞載體,運行后會釋放內容為Chile APEC 2019日程相關的圖片作為誘餌,以及多個DLL和配置文件。

綜合分析木馬編譯時間,誘餌文件創建修改時間,以及首次發現時間等信息,判斷此次攻擊發生在10月底,潛在被攻擊目標為出席APEC會議的政府領導和工商企業人士。更進一步分析發現,近幾年,BlueMushroom基本每年都會在10月底以APEC為誘餌發起一波攻擊,這可能是由于每年APEC領導人非正式會議將于11月中旬舉行。下圖為2016年10月底 APEC相關攻擊活動中使用的誘餌。

近年活動
BlueMushroom善于利用社工手法進行釣魚攻擊,制作的誘餌也與被攻擊目標高度相關。在歷年的活動中,BlueMushroom多次利用各種智庫和政治類期刊的“約稿”和“采訪”,以及各種會議作為誘餌進行定向攻擊。比如,BlueMushroom曾假借《當代亞太》編輯部編輯任娜的名義進行釣魚,針對研究亞太安全與軍控的專家進行定向攻擊;以及以《國家智庫》的名義,針對某教授進行定向攻擊等等。
下表為2015年以來微步在線獨家發現的BlueMushroom組織的部分攻擊活動。
時間節點
攻擊活動
2015年初
以“兩會會議案”為誘餌,發起釣魚攻擊。
2016年6月
以“京卡-互助服務卡”為誘餌,疑似針對北京理工大學教職工發起定向攻擊。
2016年10月
以APEC議程為誘餌,針對APEC與會者發起定向攻擊。
2017年7月
以“一帶一路”對策建議為誘餌,定向攻擊國內頂級智庫相關目標。
2017年8月
以“《太平洋學報》征稿啟事”,“運籌優化軟件GAMS及CGE模型核心技術與應用培訓”等為誘餌,針對研究海洋、社會科學和國際關系的專家學者,以及金融和經濟等企事業單位技術骨干、科研院所研究人員以及高校教職工等目標發起定向攻擊;以北京大學國際戰略研究院院長王緝思批注的人大國發院針對“一帶一路”的對策建議為誘餌,定向攻擊國內頂級智庫相關目標。
2017年9月
以上海“2017智慧政務與信息技術研討會”為誘餌發起定向攻擊,此次攻擊中使用了64位的木馬。
2018年4月
針對某大型會議相關目標發起定向攻擊。
2018年10-11月
以APEC為誘餌,針對APEC與會者發起定向攻擊;以《國際商報》采訪作為誘餌,針對某大型會議與會者發起釣魚攻擊。
示例一:
在2016年的一次攻擊中,攻擊者以“京卡-互助服務卡”為誘餌,疑似針對北京理工大學教職工發起定向攻擊。分析誘餌文檔的元數據,發現文檔為“劉明奇”創建,此人系中國教育工會北京理工大學委員會常務副主席,在2016年確實有從事相關工作(推動本校工會系統服務平臺建設)。推測此文檔應是攻擊者竊取而來。京卡·互助服務卡原名“職工互助服務卡”,是北京推出的一種維護職工權益的智能卡,持卡人可享受免費保險、優惠逛公園、看電影等12項服務。
包含誘餌的木馬文件圖標:

誘餌文檔內容:

示例二:
2017年8月前后,攻擊者以“《太平洋學報》征稿啟事”為誘餌(內容是從《太平洋學報》網站復制),針對研究海洋、社會科學和國際關系的專家學者發起定向攻擊。《太平洋學報》關注太平洋區域政治、經濟、海洋、文化以及國際關系。

[1] [2] [3]  下一頁

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视