360-蓝宝菇-核危机行动揭秘-最终版

◼从2011年开始持续至今，高级攻击组织蓝宝菇（APT-C-12）对我国政府、军工、科研、金融等重点单位和部门进行了持续的网络间谍活动。该组织主要关注核工业和科研等相关信息。被攻击目标主要集中在中国大陆境内。◼360追日团队捕获的首个蓝宝菇组织专用木马出现在2011年3月左右。目前已总共捕获该组织恶意代码670余个，其中包括60余个专门用于横向移动的恶意插件。目前已经发现该组织相关的C&C域名、IP数量多达40余个。◼由于该组织相关恶意代码中出现特有的字符串（PoisonIvy密码是：NuclearCrisis），结合该组织的攻击目标特点，360威胁情报中心将该组织的一系列攻击行动命名为核危机行动（OperationNuclearCrisis），考虑到核武器爆炸时会产生蘑菇云，并结合该组织的一些其他特点及360威胁情报中心对APT组织的命名规则，我们将该组织名为蓝宝菇。◼截止2018年5月，360追日团队已经监测到核危机行动攻击针对的境内目标近30个。其中，教育科研机构占比最高，达59.1%，其次是政府机构，占比为18.2%，国防机构排第三，占9.1%。其他还有事业单位、金融机构制造业等占比为4.5%。关键词：蓝宝菇、核危机、APT