【安全资讯】血茜草：毒云藤组织最新华语情报搜集活动

从2018年至2020年，毒云藤组织利用大陆最常使用的社交软件，邮箱系统，以及政府机构网站，军工网站，高等院校网站等进行了大规模的仿制，目的便是获取到受害者尽可能多的个人信息，从而为打入内部提供便利。 

如此前有所不同的是，如今该华语来源的攻击活动趋向渔网化，通过批量与定向投方相结合，采取信息探测的方式辅助下一步的定点攻击。该情报搜集活动被我们命名为“血茜草行动”(Operation Rubia cordifolia)，由于”血茜草”同”蒐”，而蒐一字经常用在繁体中文”蒐集情報”一词中，顾如此命名。目前我们将该系列攻击活动归属于著名的毒云藤组织。

由于语言环境的原因，华语类网络攻击通常极具诱惑性。在血茜草活动中，攻击目标行业主要为军工、国防类军情行业、重点高等教育科研、政府机构等。

在该活动中，攻击分为三种类型：钓鱼网站钓鱼、诱饵引诱钓鱼和恶意附件式钓鱼攻击。 其中主要还是以邮件配合钓鱼网站进行攻击。具体手法为，通过伪装成一个合适的身份，根据该身份进行符合攻击目标利益的话术编造，从而引诱受害者掉入陷阱。

根据我们观察，血茜草活动中伪装了多个具备鲜明特色的角色，如智库类目标、军民融合产业园、军事杂志、公务员类猎头公司等等。伪装这些角色的意图很明显，就是为了针对一些在体制工作，需要赚取外快的人员，从而让这些人员能够被利益冲昏头脑从而掉入陷阱中。 

下图为血茜草活动的其中几个场景，需要注意的是，由于该攻击活动异常活跃和频繁，且攻击事件可达数千起以上，因此仅将典型案例进行展示。

结论：

在对毒云藤组织所进行的血茜草活动进行整体分析后，不难发现该华语APT组织的一个攻击趋势：利用社会工程学进行情报收集。

鉴于钓鱼活动会极大的利用人心漏洞，这里警惕广大用户勿打开未知来源的邮件的附件或链接，勿要向域名URL奇形怪状的网站输入邮箱和密码。