BlueMushroom组织最新动向及近年攻击活动揭露

此外，一些钓鱼邮件和诱饵文件的内容也阐明进击者的汉语水平较高，再结合该组织进击目标也多与亚太地缘政治有关等信息，推想该组织可能具备亚太地缘政治背景

BlueMushroom别名“蓝宝菇”，具备地缘政治背景，自2011年开始生动，经久针对我国政府、教导、海洋、贸易、军工、科研和金融等重点单位和部门开展持续的收集特工活动

本申报内容主要包孕BlueMushroom组织阐发，其最新活动阐发，以及首次公开的该组织近年的进击活动部分发明如下：

根据微步在线要挟情报云，BlueMushroom持续生动，近来于2018年11月初前后提议过多次进击，受害者包孕APEC等大年夜型会议相关目标

BlueMushroom常常应用各类会议、智库和期刊的采访和约稿等作为诱饵，以冒充成文件夹和Word文档的可履行文件，以及包孕PowerShell脚本的LNK文件作为木马送达载体其目的是偷取目标机械上的jpg、txt、eml、doc*、xls*、ppt*、pdf、wps、wpp和et款式文件，和进一步的渗透

2015年至今，BlueMushroom主要应用自己开拓的后门进行进击，该后门的一大年夜特性是会删除WPS相关组件法度榜样，以及经由过程改动LNK文件实现持久化

BlueMushroom对照关注亚太政治，北京和上海等地是其重点关注地区综合阐发其进击目标，木马对象等信息，判断BlueMushroom可能具备亚太地缘政治背景

微步在线经由过程对相关样本、IP和域名的溯源阐发，共提取11条相关IOC，可用于要挟情报检测微步在线的要挟情报平台（TIP）、要挟情报订阅、API等均已支持这次进击事故和团伙的检测

详情

微步在线经久跟踪举世150多个黑客组织，此中包孕多个经久针对我国进行进击的APT组织近期，微步在线监测到具备地缘政治背景的APT组织BlueMushroom针对我国的多起进击活动在详细的进击（多为鱼叉式收集钓鱼）中，BlueMushroom一样平常会制作与目标高度相关的诱饵，使用冒充成文件夹和Word文档的可履行文件，以及包孕PowerShell脚本的LNK文件作为木马送达载体

最新活动

2018年10月尾至11月初，微步在线监测到BlueMushroom针对我国提议了多次定向进击，此中受害者包孕APEC等大年夜型会议相关目标以针对APEC相关目标的进击为例，进击者应用冒充为文件夹的可履行文件作为木马送达载体，运行后会开释内容为Chile APEC 2019日程相关的图片作为诱饵，以及多个DLL和设置设置设备摆设摆设文件

综合阐发木马编译光阴，诱饵文件创建改动光阴，以及首次发明光阴等信息，判断这次进击发生在10月尾，潜在被进击目标为出席APEC会议确政府引导和工商企业人士更进一步阐发发明，近几年，BlueMushroom基础每年都邑在10月尾以APEC为诱饵提议一波进击，这可能是因为每年APEC引导人非正式会议将于11月中旬举行下图为2016年10月尾 APEC相关进击活动中应用的诱饵

近年活动

BlueMushroom善于使用社工伎俩进行钓鱼进击，制作的诱饵也与被进击目标高度相关在历年的活动中，BlueMushroom多次使用各类智库和政治类期刊的“约稿”和“采访”，以及各类会议作为诱饵进行定向进击比如，BlueMushroom曾假借《现代亚太》编辑部编辑任娜的名义进行钓鱼，针对钻研亚太安然与军控的专家进行定向进击；以及以《国家智库》的名义，针对某教授进行定向进击等等

下表为2015年以来微步在线独家发明的BlueMushroom组织的部分进击活动

光阴节点

进击活动

2015年头?年月

以“两会会议案”为诱饵，提议钓鱼进击

2016年6月

以“京卡-合作办事卡”为诱饵，疑似针对北京理工大年夜学教职工提议定向进击

2016年10月

以APEC议程为诱饵，针对APEC与会者提议定向进击

2017年7月

以“一带一起”对策建议为诱饵，定向进击海内顶级智库相关目标

2017年8月

以“《宁靖洋学报》征稿缘由”，“运筹优化软件GAMS及CGE模型核心技巧与利用培训”等为诱饵，针对钻研海洋、社会科学和国际关系的专家学者，以及金融和经济等企奇迹单位技巧骨干、科研院所钻研职员以及高校教职工等目标提议定向进击；以北京大年夜学国际计谋钻研院院长王缉思批注的人大年夜国发院针对“一带一起”的对策建议为诱饵，定向进击海内顶级智库相关目标

2017年9月

以上海“2017聪明政务与信息技巧研讨会”为诱饵提议定向进击，这次进击中应用了64位的木马

2018年4月

针对某大年夜型会议相关目标提议定向进击

2018年10-11月

以APEC为诱饵，针对APEC与会者提议定向进击；以《国际商报》采访作为诱饵，针对某大年夜型会议与会者提议钓鱼进击

示例一：

在2016年的一次进击中，进击者以“京卡-合作办事卡”为诱饵，疑似针对北京理工大年夜学教职工提议定向进击阐发诱饵文档的元数据，发明文档为“刘明奇”创建，此人系中国教导工会北京理工大年夜学委员会常务副主席，在2016年确凿有从事相关事情（推动本校工会系统办事平台扶植）推想此文档应是进击者偷取而来京卡·合作办事卡原名“职工合作办事卡”，是北京推出的一种掩护职工职权的智能卡，持卡人可享受免费保险、优惠逛公园、看片子等12项办事

包孕诱饵的木马文件图标：

诱饵文档内容：

示例二：

2017年8月前后，进击者以“《宁靖洋学报》征稿缘由”为诱饵（内容是从《宁靖洋学报》网站复制），针对钻研海洋、社会科学和国际关系的专家学者提议定向进击《宁靖洋学报》关注宁靖洋区域政治、经济、海洋、文化以及国际关系

[1] [2] [3]下一页

相关木马冒充成文件夹，双击后会开释并打开，此中包孕两个诱饵文件

诱饵文件内容：

示例三：

2017年8月中上旬，以中国治理科学钻研院人才计谋钻研所举办的“运筹优化软件GAMS及CGE模型核心技巧与利用”培训为诱饵，针对金融和经济等企奇迹单位技巧骨干、科研院所钻研职员以及高校教职工等目标提议定向进击

相关木马亦冒充成文件夹，双击后会开释并打开，此中包孕两个诱饵文件

诱饵文件内容：

样本分析

根据公开情报，在早期（2011-2014）的活动中，BlueMushroom主要应用公开的Poison Ivy的木马进行进击，从2014岁终至今，较多应用自己开拓的Bfnet后门Bfnet属DLL后门，主要经由过程冒充成Word文档、文件夹以及其他要领进行送达，其显明特征是运行后会删除WPS相关法度榜样和改动LNK文件实现持久化

最新样本分析

下面以Chile_Apec2019.exe为例进行阐发

该样本基础信息如下：

文件类型

PE32 executable (GUI) Intel 80386, for MS Windows

文件大年夜小

6150922

文件名

Chile_Apec2019.exe

SHA256

0f8ec57dada552766dcdf43cb2a827133bbbfba242c925d744f2698a3ebc8ff9

SHA1

55d1cf05904c16f5d813dd9f708bd1ab6f353324

MD5

41344a2854d4cc46d8ec36dd9c8caa2d

该样本的整体履行流程如下：

样本履行后会开释出3个DLL文件、1个设置设置设备摆设摆设文件和6张诱饵图片

文件名

感化

dx9_9.bak

伪后门DLL，会将对导出函数的调用转移到dx9_9_.bak上

dx9_9_.bak

实际的后门DLL

dx13_32.dat

设置设置设备摆设摆设文件

op.bak

用于启动资本治理器展示诱饵图片

dx9_9_.bak是该样本的主要后门模块，供给了多个导出函数，如下表所示

导出函数名

功能

DxEntry

创建互斥量，解密设置设置设备摆设摆设文件，并触发后门法度榜样

DxInstall

天生批处置惩罚文件nv32_update.bat并履行

DxUninstall

DxCanUnload

天生批处置惩罚文件nv32_update.bat

DxSetClassObject

感染相符前提的快捷要领文件，以实现驻留

DxUnsetClassObject

无实际用场

DxCopyClassObject

将参数1指定的文件复制到参数2指定的路径

DxMoveClassObject

将参数1指定的文件移动到参数2指定的路径

DxMoveClassObjectEx

将参数1指定的文件复制到参数3指定的路径

DxDelClassObject

将参数1指定的文件拷贝到%TEMP%下

DxServiceBegin

调用cmd.exe /c履行参数指定的敕令

DxServiceBeginEx

（1）字符串解密算法

样本中字符串的解密算法是一个简单的调换历程对ANSI字符串和Unicode字符串应用了不合的函数进行处置惩罚，但算法的思路相同，做法为：

a.对付大年夜写字母，如码点值大年夜于即是0x4A，则将码点值-9，否则将码点值+17；

b.对付小写字母，如码点值大年夜于即是0x6A，则将码点值-9，否则将码点值+17；

c.对付数字，如码点值大年夜于即是0×39，则将码点值-9，否则将码点值+1；

d.将空格（0×20）和大年夜于号（0x3E）对调；

e.以竖线（0x7C）作为字符串停止符

（2）一些与样本功能无关的API调用

样本在一些函数中加入了无关的API调用，如在DxEntry导出函数中加入了GetCurrentProcess()、GetConsoleWindow()和GetCapture()调用

（3）天生批处置惩罚文件

a.样本会网络下列目录中的快捷要领文件名

%USERPROFILE%\Desktop

%USERPROFILE%\桌面

%APPDATA%\Microsoft\Internet Explorer\Quick Launch

%APPDATA%\Microsoft\Windows\Start Menu

%ALLUSERSPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu

%USERPROFILE%\「開始」功能表

%ALLUSERSPROFILE%\「開始」功能表

%USERPROFILE%\「开始」菜单

%ALLUSERSPROFILE%\「开始」菜单

b.并过滤出带有下列关键词的字符串

Startup

啟動

启动

Internet Explorer

Chrome

Firefox

Opera

Safari

Browser

浏览器

瀏覽器

360

我的手机

Windows Explorer

腾讯QQ

微信

c.着末样本会向批处置惩罚文件中写入调用DxSetClassObject感染快捷要领的敕令，在天生批处置惩罚文件之后，样本经由过程CreateProcessW调用cmd.exe来启动批处置惩罚文件

（4）感染快捷要领文件

样本首先会经由过程CoCreateInstance创建一个IShellLinkW工具，然后拼接多个敕令字符串，着末经由过程IShellLinkW工具供给的接口将这些内容写入快捷要领

（5）解密设置设置设备摆设摆设文件

解密前的设置设置设备摆设摆设文件款式如下所示

字段

大年夜小

CONFIG-KEY的长度k1

4字节

CONFIG-KEY

k1字节

C2数据的长度k2

4字节

C2数据

k2 – 1字节

准时器触发光阴（秒）

4字节

是否驻留

4字节

样本中硬编码了另一个8字节的KEY （0×37 0×43 0×18 0×95 0×47 0×69 0×13 0×68），该KEY与CONFIG-KEY做轮回异或后获得的结果才用于解密历程

解密后的设置设置设备摆设摆设文件数据部分如下图和下表所示，C2数据之间应用换行符\n（0x0A）进行瓜分

C2列表

142.93.65.5282.196.6.100104.248.189.199

准时器触发距离

0×00000020 = 32秒

是否驻留

0×00000001 = True

（6）后门功能

样本经由过程一个准时器（SetWaitableTimer）来按期触发，光阴距离由设置设置设备摆设摆设文件指定（0×20 = 32秒）随后准时器会考试测验逐个回连C2列表中的办事器，并将”HELLO “和密钥字撙节拼接，作为握手包发送如成功建立连接，则C2办事器会回覆”!HELLO”以及多个后续敕令，相关敕令及履行的操作如下：

敕令

操作

!GETINFO

无

!PERSIST

履行DxUninstall导出函数

!PERSIST_UN

履行DxInstall导出函数

!SETIP

改动C2办事器的地址，并写入设置设置设备摆设摆设文件

!SETID

设定回连的ID信息

!INTERVAL

改动准时器的触发光阴（最大年夜7200秒，最小30秒），并写入设置设置设备摆设摆设文件

!DOWNLOAD

下载文件（到当前目录）

!PUT

上传文件

!GET

下载文件

!PLUGIN_RUNDLL

调用DxEntry导出函数

!PLUGIN_RUN

加载DLL文件并调用DLL文件中的DxEntry导出函数

!PLUGIN_WRITE

调用DLL文件中的DxPutClassObject导出函数

!PLUGIN_STOP

调用DLL文件中的DxUnregisterServer导出函数

!EXIT

竣事准时器

!RESTART

调用DxEntry导出函数参数为DxRegisterServer

!RESTART_NEW

!UNINSTALL

卸除自身模块

!CAB

应用makecab法度榜样对文件进行打包

!ZIP

无

!ZIPLIST

网络在特准光阴之后的doc/docx/ppt/pptx/xls/xlsx/txt类型的文件，并寄放在%DIRNAME%.zip.lst中

历年样本比较

从代码布局来看，BlueMushroom自己开拓的Bfnet大年夜致可以分为两大年夜版本较旧的版本编译光阴在2014年阁下，没有应用任何的字符串加密算法，各类特性也较为显着2015年之后的Bfnet样本开始应用“轮回移位 + 调换”的字符串加密算法，并且开始重视改动代码中的静态特性，改动了蓝本的User-Agent字符串和互斥量名称等等，之后的样本（2017~2018）整体上来说变更不大年夜，只做了一些微小的篡改，设置设置设备摆设摆设解密算法更是始终未变

2018年上半年捕获到的BlueMushroom样本有应用PowerShell脚本取代Bfnet后门核心功能的趋势，但在近来捕获的样本中又规复了蓝本的做法，即在DLL文件中实现后门功能

具体对比如下：

溯源阐发

为方便进行跟踪，微步在线将该组织称为BlueMushroom根据BlueMushroom在进击中应用的木马对象，收集资产和进击伎俩等信息，确定该组织也即“蓝宝菇”组织

微步在线对BlueMushroom的TTP和历年进击活动进行了系统的阐发，有如下发明：

发明该组织在提议进击之前一样平常会颠末一段光阴的精心筹备，无意偶尔筹备光阴长达两个月

该组织进击伎俩和私有木马这几年变更均不大年夜，但也在寻求着改变自生动以来，该组织主要应用冒充Word文档和文件夹等的PE文件作为载体送达后门木马在2018年的几回进击中，该组织开始考试测验将部分诸如偷取文档等核心功能转移到应用PowerShell脚本实现，其策略也更倾向于LotL策略，这也是当前APT进击的一大年夜趋势

该组织私有木马包孕繁体字符，某PowerShell脚本会判断系统说话是否为日语、繁体、简体和英语，最新的某进击样本中暗藏的用于嘲讽安然钻研者的图片也包孕繁体字符