量子哈希
概要:BlueMushroom,也被称为“蓝宝菇”,是一个具有地缘政治背景的网络间谍组织。自2011年以来,他们一直在针对我国政府、教育、海洋、贸易、军工、科研和金融等重要单位和部门进行持续的网络间谍活动。本报告将对BlueMushroom组织进行分析,并公开了该组织近年来的攻击活动。
最新活动:从2018年10月底到11月初,我们监测到BlueMushroom对我国发起了多次定向攻击,其中包括针对APEC等大型会议相关目标的攻击。他们通常会制作与目标高度相关的诱饵,使用伪装成文件夹和Word文档的可执行文件,以及包含PowerShell脚本的LNK文件作为木马投递载体。
近年活动:BlueMushroom善于利用社交工程手法进行钓鱼攻击,并制作与被攻击目标高度相关的诱饵。他们经常以智库、政治类期刊的“约稿”和“采访”,以及各种会议作为诱饵进行定向攻击。例如,他们冒充《当代亚太》编辑部编辑任娜的名义进行钓鱼,针对研究亚太安全与军控的专家进行定向攻击。
以下是自2015年以来我们独家发现的BlueMushroom组织的部分攻击活动:
- 2015年初:以“两会会议案”为诱饵,发起钓鱼攻击。
- 2016年6月:以“京卡-互助服务卡”为诱饵,疑似针对北京理工大学教职工发起定向攻击。
- 2016年10月:以APEC议程为诱饵,针对APEC与会者发起定向攻击。
- 2017年7月:以“一带一路”对策建议为诱饵,定向攻击国内顶级智库相关目标。
- 2017年8月:以“《太平洋学报》征稿启事”和“运筹优化软件GAMS及CGE模型核心技术与应用培训”等为诱饵,针对研究海洋、社会科学和国际关系的专家学者,以及金融和经济等企事业单位技术骨干、科研院所研究人员以及高校教职工等目标发起定向攻击。
- 2017年9月:以上海“2017智慧政务与信息技术研讨会”为诱饵发起定向攻击,使用了64位的木马。
- 2018年4月:针对某大型会议相关目标发起定向攻击。
- 2018年10-11月:以APEC为诱饵,针对APEC与会者发起定向攻击;以《国际商报》采访作为诱饵,针对某大型会议与会者发起钓鱼攻击。
样本分析:BlueMushroom在早期活动中主要使用公开的Poison Ivy木马进行攻击,但从2014年末开始,他们更多地使用自己开发的Bfnet后门。Bfnet是一个DLL后门,通过伪装成Word文档、文件夹等方式进行投递。最新的样本分析显示,他们的后门模块提供了多个导出函数,用于执行各种操作,如下载文件、上传文件、加载DLL文件等。
最新样本分析:以ChileApec2019.exe为例,该样本是一个PE32可执行文件,大小为6150922字节。执行后,它会释放3个DLL文件、1个配置文件和6张诱饵图片。其中,dx99_.bak是主要的后门模块,提供了多个导出函数,用于执行各种操作。
溯源分析:我们将这个组织称为BlueMushroom,根据他们在攻击中使用的工具、网络资产和攻击手法等信息,我们确定了这个组织的名称。根据分析,BlueMushroom在发起攻击之前会经过一段时间的准备,攻击手法和私有木马在近几年没有太大变化,但他们也在寻求改变。他们的私有木马包含繁体字符,一些钓鱼邮件和诱饵文件的内容表明攻击者具备较高的汉语水平,结合攻击目标与亚太地缘政治有关,推测该组织可能具备亚太地缘政治背景。
图1:诱饵文件夹内容
图2:2016年APEC相关攻击中使用的诱饵
图4:京卡-互助服务卡
图8:《太平洋学报》2017年重点选题方向
图9:《太平洋学报》征稿启事
