第1章 概述
1. 主要发现
从2007年开始至今,360追日团队发现毒云藤组织对中国国防、政府、科技、教育以及海事机构等重点单位和部门进行了长达11年的网络间谍活动。该组织主要关注军工、中美关系、两岸关系和海洋相关领域,其关注的领域与我们之前发布的海莲花(OceanLotus)APT组织有一定相似的地方。
360追日团队捕获毒云藤的首个木马出现在2007年12月。在之后的11年中我们先后捕获到了13个版本的恶意代码,涉及样本数量73个。该组织在初始攻击环节主要采用鱼叉式钓鱼邮件攻击,攻击之前对目标进行了深入调研和精心挑选,选用与目标所属行业或领域密切相关的内容构造诱饵文件和邮件,主要是采用相应具体领域相关会议材料、研究成果或通知公告等主题。期间漏洞文档样本数量10个,其中包含1个0day漏洞。这些木马的感染者遍布国内31个省级行政区。C&C域名数量为59个,回传的地址位于4个不同国家或地区。
毒云藤在对中国持续11年的网络间谍活动中,下述相关时间点值得关注:
2007年12月,首次发现与该组织相关的木马。涉及海洋相关领域(疑似对某大型船务公司进行相关攻击)
2008年3月,对国内某高校重点实验室(某科研机构)
2009年2月,开始对军工行业展开攻击(某知名军工类期刊杂志社)
2009年10月,木马增加了特殊的对抗静态扫描的手法(API字符串逆序),相关手法沿用到大部分版本的木马中,并持续应用到2018年
2011年12月,木马增加了特殊的对抗动态检测的手法(错误API参数),相关手法沿用到大部分版本的木马中,并持续应用到2015年
2012年2月,首次发现基于zxshell代码的修改版后门1,其中关键功能是窃取如.doc\.ppt\.xls\.wps类文档文件
2013年3月,对中科院,以及若干科技、海事等领域国家部委、局等进行了集中攻击
2013年10月,对中国某政府网站进行水坑攻击
2014年5月,发现zxshell修改版后门1的进化版本2,其中除了基于修改版1功能,增加了如“军”,“航”,“报告”关键字的搜索
2014年9月12日,首次发现与CVE-2014-4114(0day漏洞)相关事件和样本。
2014年10月14日,iSIGHT发布相关报告,并指出CVE-2014-4114(0day漏洞)。同日微软发布相关安全公告
2015年2月25日,对某军工领域协会组织(国防科技相关)、中国工程院等攻击,同时发现酷盘版样本
2017年10月,主要通过CVE-2017-8759漏洞文档对某大型媒体机构网站和泉州某机关相关人员实施鱼叉攻击
2018年4月,360威胁情报中心公开披露了该组织利用CVE-2017-8759漏洞文档的攻击恶意代码2
2018年5月,针对数家船舶重工企业、港口运营公司等海事行业机构发动攻击
注:
以上首次攻击时间,是基于我们对该组织了解掌握的现有数据进行统计的,不代表我们已经掌握了该组织的全部攻击事件和行为。
2. 命名由来
自2015年,国内在APT方向的相关研究逐渐起步并加快。继“海莲花”、“蓝宝菇”等组织曝光之后,毒云藤组织(APT-C-01)是又一个针对政府、军工、海事等领域敏感信息持续发起攻击的APT组织。
该组织是360独立发现的,并率先披露了该组织的部分相关信息(参见:https://ti.360.net/blog/articles/analysis-of-apt-c-01/,发布时间:2018年4月),符合360对APT组织就行独立命名的条件。
360威胁情报中心将APT-C-01组织命名为“毒云藤”,主要是考虑了以下几方面的因素:一是该组织在多次攻击行动中,都使用了Poison Ivy(毒藤)木马;二、该攻击组织在中转信息时,曾使用云盘作为跳板传输资料,这跟爬藤类植物凌空而越过墙体,颇有相似之处。根据360威胁情报中心对APT组织的命名规则(参见《2016年中国高级持续性威胁研究报告》),同时结合该组织关联地区常见的蔓藤植物,将APT-C-01组织命名为“毒云藤”。
另,国内安天实验室于2018年9月19日发布APT攻击组织“绿斑”(GreenSpot)分析报告。根据360威胁情报中心与安天实验室之间达成的能力型厂商成果互认约定,360威胁情报中心发现的“毒云藤”(APT-C-01)对应“绿斑”(Green Spot),二者是同一组织。因此,我们把监测到的情况与该组织攻击特点也公布出来,共同为中国提升APT防御能力而努力。
第2章 攻击目的和受害分析
1. 攻击目的
攻击组织的主要目的是窃取中国政府、科研相关行业领域的资料数据。相关数据主要以文档为主,关心的关键字主要包括以下关键字和扩展名的文件:
#p#分页标题#e#
关键字:
“201”,“2014”,“2015年”,“报”,“报告”,“兵”,“部队”,“对台”,“工作”,“规划”,“国”,“国际”,“航”,“合作”,“机”,“机场”,“基地”,“极地”,“军”,“军事”,“科技”,“密”,“内部”,“十”,“十三”,“台”,“台湾”,“铁路”,“无人”,“项”,“雪”,“研”,“运输”,“战”,“站”,“中”
扩展名:
“doc”,“ppt”,“xls”,“pdf”,“rtf”,“rar”,“wps”,“doc*”,“ppt*”,“xls*”
