握手包的文件格式 “蓝宝菇”又出现,瞄准中国军工科研部门,APEC会议受攻击

在线wifi跑包 金刚包跑包 cap跑包 hccapx ewsa在线 就来 握手包跑包

各位好 又见面了 我是曹操 今天给大家带来一篇新的教程

希望各位细心学习 低调用网

握手包的文件格式

概要:BlueMushroom,也被称为“蓝宝菇”,是一个具有地缘政治背景的网络间谍组织。自2011年以来,他们一直在针对我国政府、教育、海洋、贸易、军工、科研和金融等重要单位和部门进行持续的网络间谍活动。本报告将对BlueMushroom组织进行分析,并公开了该组织近年来的攻击活动。

最新活动:从2018年10月底到11月初,我们监测到BlueMushroom对我国发起了多次定向攻击,其中包括针对APEC等大型会议相关目标的攻击。他们通常会制作与目标高度相关的诱饵,使用伪装成文件夹和Word文档的可执行文件,以及包含PowerShell脚本的LNK文件作为木马投递载体。

近年活动:BlueMushroom善于利用社交工程手法进行钓鱼攻击,并制作与被攻击目标高度相关的诱饵。他们经常以智库、政治类期刊的“约稿”和“采访”,以及各种会议作为诱饵进行定向攻击。例如,他们冒充《当代亚太》编辑部编辑任娜的名义进行钓鱼,针对研究亚太安全与军控的专家进行定向攻击。

以下是自2015年以来我们独家发现的BlueMushroom组织的部分攻击活动:

  • 2015年初:以“两会会议案”为诱饵,发起钓鱼攻击。
  • 2016年6月:以“京卡-互助服务卡”为诱饵,疑似针对北京理工大学教职工发起定向攻击。
  • 2016年10月:以APEC议程为诱饵,针对APEC与会者发起定向攻击。
  • 2017年7月:以“一带一路”对策建议为诱饵,定向攻击国内顶级智库相关目标。
  • 2017年8月:以“《太平洋学报》征稿启事”和“运筹优化软件GAMS及CGE模型核心技术与应用培训”等为诱饵,针对研究海洋、社会科学和国际关系的专家学者,以及金融和经济等企事业单位技术骨干、科研院所研究人员以及高校教职工等目标发起定向攻击。
  • 2017年9月:以上海“2017智慧政务与信息技术研讨会”为诱饵发起定向攻击,使用了64位的木马。
  • 2018年4月:针对某大型会议相关目标发起定向攻击。
  • 2018年10-11月:以APEC为诱饵,针对APEC与会者发起定向攻击;以《国际商报》采访作为诱饵,针对某大型会议与会者发起钓鱼攻击。

样本分析:BlueMushroom在早期活动中主要使用公开的Poison Ivy木马进行攻击,但从2014年末开始,他们更多地使用自己开发的Bfnet后门。Bfnet是一个DLL后门,通过伪装成Word文档、文件夹等方式进行投递。最新的样本分析显示,他们的后门模块提供了多个导出函数,用于执行各种操作,如下载文件、上传文件、加载DLL文件等。

最新样本分析:以ChileApec2019.exe为例,该样本是一个PE32可执行文件,大小为6150922字节。执行后,它会释放3个DLL文件、1个配置文件和6张诱饵图片。其中,dx99_.bak是主要的后门模块,提供了多个导出函数,用于执行各种操作。

溯源分析:我们将这个组织称为BlueMushroom,根据他们在攻击中使用的工具、网络资产和攻击手法等信息,我们确定了这个组织的名称。根据分析,BlueMushroom在发起攻击之前会经过一段时间的准备,攻击手法和私有木马在近几年没有太大变化,但他们也在寻求改变。他们的私有木马包含繁体字符,一些钓鱼邮件和诱饵文件的内容表明攻击者具备较高的汉语水平,结合攻击目标与亚太地缘政治有关,推测该组织可能具备亚太地缘政治背景。

握手包的文件格式

图1:诱饵文件夹内容

握手包的文件格式

图2:2016年APEC相关攻击中使用的诱饵

握手包的文件格式

图4:京卡-互助服务卡

握手包的文件格式握手包的文件格式握手包的文件格式握手包的文件格式握手包的文件格式握手包的文件格式握手包的文件格式握手包的文件格式

图8:《太平洋学报》2017年重点选题方向

图9:《太平洋学报》征稿启事

握手包的文件格式握手包的文件格式握手包的文件格式握手包的文件格式握手包的文件格式握手包的文件格式握手包的文件格式

赞(0)