全球 高级持续性威胁（ APT） 2018 年 报告 发布机构： 奇安信 威胁情报中心 2019 年 1 月 2 日 序 言 Threat Actor（即威胁行为体 ） ， 在威胁情报中用于描述实施网络攻击 威胁的个人 、 团伙或组织以达到其恶意的动机和意图。 威胁行为体 ，是为了标记对实施网络威胁攻击的人、团伙或者组织而 建立的虚拟实体。通常 将攻击者或其实施的攻击行动赋予独有的代号， 以 便于从广泛的攻击活动中识别、区分归属于该攻击来源相关的并进行持续 性的威胁活动跟踪。 以攻击者的维度持续跟踪威胁活动， 持续完善攻击者 画像的拼图 ，能够更好的完成挖掘威胁攻击背后的动机，追溯攻击真实的 来源，研究攻击技术的演变，提供更有效的安全防御策略 。 结合 2018 年全年 国内外各个安全研究机构、安全厂商披露的威胁活 动，以及近几年来历史披露的高级持续性威胁活动 ， 通常 APT 组织和网络 犯罪组织的威胁尤为关注，其往往能够对行业、企业和机构造成更严重的 影响，并且更加难于发现和防御。 APT 组织，通常具有国家或情报机构背景，或者专门实施网络间谍活 动，其攻击动机主要是长久性的情报刺探、收集和监控，也会实施如牟利 和破坏为意图的攻击威胁。 APT 组织主要攻击的目标包括政府、军队、外 交、国防 外，也覆盖科研、能源以及国家基础设施性质的行业和产业。 网络犯罪组织主要以牟取经济利益而实施攻击活动， 近年来，数个活 跃的网络犯罪组织也呈现出明确的组织化特点，并且使用其自身特色的攻 击工具和战 术技术。网络犯罪组织对于如金融、银行、电子商务、餐饮零 售等行业带来了巨大的资金损失和业务安全风险。 本报告是 奇安信 威胁情报中心 基于收集的公开威胁情报和内部产生 的威胁情报数据，对 2018 年全年高级持续性威胁相关研究的总结报告， 主要内容分成三个部分： 1） 高级持续性威胁背后的攻击者 结合全年国内外各个安全研究机构、安全厂商披露的 高级威胁 活动 报 告内容 的 统计分析，对 2018 年高级威胁类攻击态势进行总结。 2） 针对中国境内的 APT 组织 和威胁 基于 奇安信 威胁情报中心 内部对多个针对中国境内的 APT 组织持续 跟踪， 包括海莲花、摩诃 草、 Darkhotel、蓝宝菇、毒云藤等组织都在 2018 年对中国境内目标机构和人员频繁实施攻击活动 ，这里对上述组织相关攻 击活动进行回顾 。 3） APT 威胁的现状和挑战 最后总结 APT 威胁的现状和应对 APT 威胁所面临的挑战，并对 APT 威胁的变化趋势进行 合理的 预测 。 主要 观点 网络间谍活动变得更加普遍化，这对 高级持续性威胁活动的持续跟踪 带来一些挑战 。 我们需要更加明确的区分和识别高级持续性威胁攻击， 以及能够明确来源归属的攻击组织。 而对于不能明确归属的 APT 威 胁，需要依赖于持续的威胁跟踪和更多的数据证据佐证。 APT 威胁的归属问题正在变得更加明显， 其原因可能包括 攻击者不断 变化的攻击武器和使用更加匿名化的控制基础设施 ，以及引入的 false flag 或刻意模仿的攻击战术技术，一些成熟而完善的公开渗透工具 给 攻击者带来了更好的选择 。 2018 年， 奇安信威胁情报中心 公开披露了两个新的针对中国境内的 APT 组织 ，以及多个针对中国境内频繁的 APT 威胁活动，可以看到 随着 我国在国际形势中的日益发展，地缘政治 、外交形势等立场下高 级持续性威胁将变得更加严峻 。 2018 年多次曝光的在野 0 day 攻击的发现，展现了 APT 攻击者的技 术能力储备和提升，威胁的攻击和防御变得更加白热化， APT 威胁的 防御和响应的时效性变得尤为重要 。 威胁攻击者也在发掘一些新的攻击方式，也包括使用了部分“陈旧而 古老”的技术特性，绕过或逃避威胁检测机制从而实施攻击，结合目 标人员的安全意识弱点往往也能够取得不错的攻击效果 。 奇安信 威胁情报中心在 2018 年监测 到 的高级持续性威胁相关公开报 告总共 478 篇，其中下半年报告披露的频次和数量明显高于上半年。 从 公开报告的 发布渠道统计来看， 2018 年国内安全厂商加大了对 高 级威胁攻击事件及相关攻击者 的披露 频率， 其中 奇安信 来源披露的高 级威胁类报告数量处于首位，并且明显超过其他安全厂商。 在对 APT 威胁攻击的持续跟踪过程中，通常会将明确的 APT 攻击 行动或攻击组织进行命名，用于对攻击背后实际的攻击组织映射成一 个虚拟的代号，以便更好的区分和识别具体来源的攻击活动。历史披 露的明确的 APT 攻击组织至少有 80 个 。 截至目前， 奇安信 威胁情报中心明确的针对中国境内实施攻击活动的， 并且依旧活跃的 公开 APT 组织，包括海莲花，摩诃草，蔓灵花， Darkhotel， Group 123，毒云藤和蓝宝菇，其中毒云藤和蓝宝菇是 奇 安 信威胁情报中心 在 2018 年下半年公开披露并命名的 APT 组织 。 APT 威胁也不再是 APT 组织与安全厂商之间独有的“猫和老鼠”的 游戏，还作为国家与国家之间博弈以及外交舆论层面的手段。例如美 国司法部在 2018 年就多次公开指控了被认为是他国黑客成员对其本 土的网络威胁活动，最为详细的就是指控朝鲜黑客 PARK JIN HYOK 历史涉及的攻击活动，而过去影子经纪人曝光的 NSA 网络武器库资 料，维基解密曝光的 Vault 7 项目以及卡巴斯基披露的 Slingshot 攻击 行动都被认为与美国本土情报机构有关 。 关键词 ： APT、 海莲花、毒云藤、蓝宝菇 目 录 第一章 公开披露的全球高级持续性威胁 . 1 一、 数量和来源 . 1 二、 受害目标的行业与地域 . 2 三、 威胁攻击者 . 4 第二章 高级持续性威胁背后的攻击者 . 6 一、 活跃的国家背景组织 . 6 二、 值得关注的 APT 攻击者 . 9 第三章 针对中国境内的 APT 组织和威胁 .18 一、 海莲花（ APT-C-00） .18 二、 毒云藤（ APT-C-01） .19 三、 蓝宝菇（ APT-C-12） .20 四、 DARKHOTEL（ APT-C-06） .22 第四章 APT 威胁的现状和挑战 .23 一、 多样化的攻击投放方式 .23 二、 0DAY 漏洞和在野利用攻击 .26 三、 APT 威胁活动归属面临的挑战 .27 四、 APT 威胁的演变趋势 .28 总 结 .29 附录 1 奇安信 威胁情报中心 .30 附录 参考链接 .31 1 第一章 公开披露的全球高级持续性威胁 奇安信 威胁情报中心在 2018 年持续对高级持续性威胁相关的公开报告 进行收集，其中包括但不限于以下类型。 APT 攻击团伙报告、 APT 攻击行动报告、疑似 APT 的定向攻击事件、 和 APT 攻击相关的恶意代码和漏洞分析，以及我们认为需要关注的网络犯 罪团伙及其相关活动。 国内外安全厂商、安全研究人员 通常会对高级持续性威胁活动涉及的攻 击团伙、攻击活动进行命名，并以 Actor / Group / Gang等对威胁背后的攻 击者进行称谓 ，其中包括了明确的 APT 组织 ，明确的网络犯罪团伙，以及 暂时不太明确 攻击者信息 的攻击活动命名 。 不同的安全 厂商有时候会对同一背景来源的威胁进行不同的别名命名， 这取决于其内部在最早跟踪威胁活动时的命名约定 ，所以往往需要根据威胁 攻击的同一来源进行归类。 我们结合上述说明对自 身收集渠道收集的公开报告内容进行分析，并从 公开披露的信息中公布全球高级持续性威胁的态势情况。 一、 数量和来源 奇安信 威胁情报中心 在 2018 年 监测 到 的 高级持续性威胁 相关公开报告 总共 478 篇 ，其中下半年报告披露的频次和数量明显 高于上半年 。 从 公开报告的 发布渠道统计来看， 2018 年国内安全厂商加大了对 高级威 胁攻击事件 及相关攻击者 的披露频率， 其中 360 公司（包括 2019 年 4 月以 2 前的奇安信） 来 源披露的高级威胁类报告数量处于首位，并且明显超过其他 安全厂商。 从 不同安全厂商披露的相关攻击者、攻击行动以及其中明确的 APT 组 织 数量 来看，国内安全厂商 也 和国外主流安全厂商，如 Palo Alto Networks、 卡巴斯基、趋势相差无几。 在 本报告的第二章中我们将介绍对 APT 组织定 义的看法。 二、 受害目标的行业与地域 从公开披露的高级威胁活动中涉及 目标 行业 情况来看 (摘录自公开报告 中提到的攻击目标所属行业 标签 )，政府、外交、军队、国防依然是 APT 攻 击者的主要目标，这也与 APT 攻击的主要意图和目的有关，值得注意的是 国家的基础性行业也正面临着高级威胁攻击的风险，如能源、电力、工业、 医疗等。 而 金融行业 主要 面临 一些成熟的网络犯罪团伙的攻击威胁，如 MageCart、 Cobalt Group 等等，其组织化的成员结构和成熟的攻击工具实现对目标行业 的规模化攻击，这与过去的普通黑客攻击是完全不同的。 除了针对金融、银 行外，电子商务、在线零售等也是其攻击目标。 3 而 高级威胁活动涉及目标的国家和地域分布情况统计如下图（摘录自公 开报告中提到的受害目标所属国家或地域） ，可以看到 高级威胁攻击 活动 几 乎覆盖了全球绝大部分国家和区域 。 4 三、 威胁 攻击者 进一步 对公开报告中 高级威胁活动中命名的 攻击行动 名称 、攻击者 名称 ， 并对同一背景来源进行归类处理后的 统计 情况如下 ， 总共涉及 109 个命名的 威胁来源命名。 基于 全年 公开 披露报告的数量统计，一定程度可以反映威胁 攻击的活跃程度 。 从上述 威胁来源命名中， 我们认为明确的 APT 组织数量有 53 个（在下 一章将介绍我们对 APT 组织定义的看法） ，对 APT 组织 相关 披露报告数量 统计如下 。 5 6 第二章 高级持续性威胁背后的攻击者 APT 威胁， 通常作为与地缘政治、情报活动意图下的网络间谍活动， 实施长久性的情报刺探、收集和监控。 实施 APT 攻击的攻击组织， 通常具 有国家、政府或情报机构背景，其拥有丰富的资源用于实施攻击活动。 在对 APT 威胁攻击的持续跟踪过程中，通常会将明确的 APT 攻击行 动或攻击组织进行命名，用于对攻击背后实际的攻击组织映射成一个虚拟的 代号 ，以便更好的区分和识别具体来源的攻击活动。 在对历史公开的 APT 威胁的研究过程中，我们发现对 APT 类威胁的 大量命名，给实际的 APT 威胁归属问题的分析带来了困扰，需要更加明确 的对实施 APT 攻击的攻击组织进行区分，并用于追溯真实的攻击组织实体。 我们结合部分 公开 对攻击组织的研究成果 23 （具体文档内容参见附 录链接） ，提出我们对 APT 攻击组织的一些判别标准： APT 组织实施的攻击行动具有明确的意图和目的，其表现在每次攻击 活动的目标是针对性选择的，攻击最终达到的目标通常与地缘政治、情报活 动等相符 。 APT 组织实施的攻击活动不仅体现在时间跨度的长久，并且具备延续 性，即可能针对多个不同的攻击目标群体 和多次分阶段的攻击尝试。由于通 常无法看到 APT 组织所有攻击活动的全貌，需要依赖于多个外部情报来源 的作证 。 APT 组织实施攻击的过程中使用了其特有的战术技术，并往往拥有其 特有的攻 击工具，即使在后续的攻击活动中攻击者可能选择变换其攻击的手 法，但依然会保持过去的一些攻击特征。 在追溯 APT 组织的攻击活动过程中，能够明确追溯到攻击者所在的地 域或找到 对应真实攻击者身份的虚拟标识信息。 依据上述 标准，我们认为历史披露的明确的 APT 攻击组织至少有 80 个。 一、 活跃的国家背景组织 在 2018 年中 奇安信 威胁情报中心发布的高级持续性威胁报告中，我们 按照区域性划分，介绍了部分 APT 攻击组织， 例如 APT28、 APT29、 Lazarus Group 等，这些 APT 组织在下半年继续保持较为频繁的攻击活动并多次被安 全厂商公开披露，我们在这里对其下半年的主要活动情况进行介绍。 7 （一） APT28 APT28 组织在下半年继续使用其 Zebrocy 恶意载荷对全球范围的政府、 军队、外交领域的目标人员和机构实施网络间谍活动。 Zebrocy 是 APT28 专用的攻击工具集，主要目的是用作侦察 (收集上传系 统信息和截屏 )和部署下一阶段的攻击载荷，其包含了 、 AutoIT、 Delphi、 C+、 PowerShell 和 Go 多种语言开发的形态。 安全厂商也发现该组织使用 新的攻击恶意代码 Cannon64，其使用邮件协议作为 C2 的通信方式。 APT28 组织下半年的主要攻击活动如下。 披露时间 披露来源 概述 2018.7.28 Security Affairs APT28 组织对美国民主党参议员 Claire McCaskill 及其工作人员在 2018 年的竞选连任 进行攻击的准备 和尝试 65 2018.9.27 ESET ESET发现 APT28组织实现的 UEFI rootkit攻击巴尔干半岛及中欧和东欧的政府组织。 66 2018.10.4 Symantec 安全厂商对 APT28 在 2017-2018 年期间针对欧 洲和南美的军队和政府目标 攻击活动 的披露 。 67 2018.11.20 ESET ESET 发现 APT28 从 2018 年 8 月使用了两个新 的 Zebrocy 攻击组件，并用于攻击中亚，东欧 和中欧，针对大使馆、外交部、外交官 68 2018.11.29 Accenture Security APT28 组织被命名为 SNAKEMACKEREL 的 攻击行动， 英国和荷兰政府都公开将 SNAKEMACKEREL 活动归功于俄罗斯军事情 报局（ RIS） 69 2018.12.12 Palo Alto Networks 安全厂商对 APT28 组织从 2018 年 10 月 17 日 到 2018 年 11 月 15 日的 多个用于鱼叉邮件攻击 的 恶意文档 的总结分析，其 文档作者或修订者 的名称均为 Joohn 70 表 1 APT28 组织在 2018 下半 年公开披露的主要活动情况 （二） APT29 APT29 组织在 2018 年频繁实施对目标行业和人员的鱼叉式网络钓鱼活 动 7172，包括针对美国的军事机构、执法、国防承包商、媒体公司、制药 公司等。 其实施鱼叉攻击用于投放恶意的 LNK 文件，其中利用了其组织特 有的一种 LNK 文件格式的利用技术 73。 8 其执行内嵌的 PowerShell 脚本命令，并从 LNK 文件附加的数据中解密 释放恶意载荷和诱导的 PDF 文档文件。 （三） Lazarus Group（ APT-C-26） 9 安全厂商对于 Lazarus Group 所属的攻击活动的区分开始变得不是特别 的明确，部分安全厂商开始采用独立命名的组织名称来识别针对特定地域或 者特定行业的攻击活动 ，我们在年中 APT 报告中也提及了 Lazarus Group 和 一些子组织的命名与 关系。 FireEye 也对其中经济动机的攻击活动归属为新的 APT 组织代号，即 APT38，该组织情况在文章后续会进行介绍。 这里列举了安全厂商披露的和 Lazarus Group 有关的攻击活动，或者疑 似与其有关。 披露时间 披露来源 概述 2018.8.15 360 360 高级威胁应对团队 披露了疑似该组织 模仿 开源交易软件“ Qt Bitcoin Trader”开发了一款 名为“ Celas Trade Pro”的数字加密货币交易软 件 的攻击活动，并同时针对 Windows 和 Mac 平台 。 74 2018.8.24 Check Point 安全厂商发现命名为 Ryuk 的勒索软件的定向 攻击，其与 HERMES 在代码上保持诸多相似， 而 HERMES 归属 Lazarus 75 2018.8.28 Securonix Securonix 安全专家披露 Lazarus 对印度银行 Cosmos Bank 的攻击，其在 8 月 10 日 -13 日造 成了超过 9.4 亿卢比（ 1350 万美元）资金被盗 取。 76 2018.10.2 US-CERT 美国 DHS 发布 HIDDEN COBRA 针对 ATM 攻击的预警 77 2018.11.20 Trend Micro 趋势科技披露 Lazarus 组织在 11 月份针对 亚洲 和非洲的 ATM 上 的攻击，窃取 了数百万美元。 其也在 9 月 对 拉丁美洲的几家金融机构 实施了 攻击 。 78 2018.12.13 McAfee 安全厂商披露攻击行动 Operation Sharpshooter， 针对全球的 核，防御，能源和金融公司 ，其植 入物 疑似 来自 Lazarus 的 Duuzer 后门代码 79 表 2 Lazarus Group 组织在 2018 下半 年公开披露的主要活动情况 二、 值得关注的 APT 攻击者 10 除了上述活跃的 APT 组织 外， 我们在这里 还对其他 多个值得关注的 APT 组织 情况 进行简要的介绍。 （一） 肚脑虫 （ APT-C-35） 肚脑虫， ARBOR NETWORKS 也称其为 Donot Team 4。 该组织最早的 攻击活动可以追溯到 2016 年 ，其主要针对巴基斯坦和克什米尔地区的目标 人员。 其使用了两种特定的攻击恶意框架， EHDevel 和 yty，命名取自恶意 代码中的 PDB 路径信息。 该组织使用的攻击载荷使用了多种语言开发，包 括 C+、 、 Python、 VBS 和 AutoIt。 奇安信 威胁 情报中心发现了该组织以“克什米尔问题”命名的诱饵漏洞 文档并利用了 CVE-2017-8570 漏洞 5，其主要的攻击流程如下图。 后续又发现该组织利用内嵌有恶意宏代码的 Excel 文档针对中国境内 的巴基斯坦重要商务人士 实施的攻击 6，并向被控主机下发了多种载荷模块 文件 。 11 360 烽火实验室也发现了该组织针对移动终端的攻击样本，并复用了部 分控制基础设施 9。 12 下表列举了肚脑虫组织在 2018 年主要活动的披露情况： 披露时间 披露来源 概述 2018.3.8 ARBOR NETWORKS 安全厂商披露 Donot Team 从 2018 年 1 月以后 使用的新的恶意代码框架 yty，用于文件收集、 截屏和键盘记录，并用于攻击南亚的目标。 4 2018.7.26 奇安信 奇安信 威胁情报中心发现伪装成克什米尔问题的漏洞文档。 5 2018.8.14 360 360 烽火实验室发现一个伪装成克什米尔新闻 服务应用的 RAT 程序，并共用了控制基础设 施。 9 2018.12.12 奇安信 奇安信 威胁情报中心再次发现该组织从 2018 年 5 月起针对中国境内的巴基斯坦重要商务人 士的持久性攻击活动。 6 表 3 肚脑虫组织在 2018 年公开披露的主要活动情况 13 （二） 蔓灵花 蔓灵花，是一个由 奇安信 命名的 APT 组织，其他安全厂商也称其为 BITTER，该组织同样活跃在南亚地区。 该组织最早的攻击活动可以追溯到 2013 年，并且至今仍旧活跃。 该组织主要针对巴基斯坦， 奇安信 在过去也发 现过其针对中国境内目标的攻击活动。 蔓灵花组织主要使用鱼叉邮件攻击 ，并向目标人员投放漏洞文档文件， 其中包括针对 Office 的漏洞文档和 InPage 文字处理软件的漏洞文档 （ InPage 是一个专门针对乌尔都语使用者即巴基斯坦国语设计的文字处理 软件） 。 奇安信 威胁情报中心重点分析了其利用 InPage 漏洞（ CVE-2017-12824） 的相关攻击样本和漏洞利用细节 10，并发现该组织与同样活跃在南亚地区 范围的其他 APT 组织的联系。 （三） Group 123 Group 123， 又称 Reaper group， APT37， Geumseong121， Scarcruft。该 组织被认为是来自朝鲜的 另一个频繁活跃的 APT 攻击组织， 其 最早活跃 于 2012 年，该组织被认为与 2016 年的 Operation Daybreak 和 Operation Erebus 有关。 Group 123 组织 早期 的攻击活动 主要针对韩国， 2017 年后延伸攻击目标 至半岛范围，包括日本，越南和中东。其主要针对工业垂直领域，包括化学 品、电子、制造、航空航天、汽车和医疗保健实体 11。 奇安信 威胁情报中 心也曾发现该组织针对中国境内目标的攻击活动。 该组织在过去实施的攻击活动中 主要以情报窃取为意图，并 呈现出一些 其特有的战术技术特点，包括： 同时拥有对 PC（ Windows） 和 Android 终端的攻击武器； 对韩国网站实施入侵并作为攻击载荷分发和控制回传渠道 ，或者使用云 盘，如 Yandex、 Dropbox 等作为攻击载荷分发和控制回传渠道； 使用 HWP 漏洞对韩国目标人员实施鱼叉攻击 12。 Group 123 组织的相关攻击活动在 2018 年被频繁披露，下表列举了其公 开的主要活动情况。 14 披露时间 披露来源 概述 2018.1.16 Cisco Talos Talos 总结了 Group 123 组织从 2017 年到 2018 年对韩国目标实施的六次攻击行动，包括： Golden Time， Evil New Year， Are you Happy， FreeMilk， North Korean Human Rights 和 Evil New Year 2018。 37 2018.2.1 ESTsecurity 利用 CVE-2018-4878 Flash Player 0day 漏洞对 韩国实施鱼叉攻击，其将该组织也称为 Geumseong121，后续多家安全厂商对该 0day 漏洞和攻击细节进行了分析。 38 2018.2.20 FireEye FireEye 将其命名为 APT37，也称 Reaper，并指出其为朝鲜的攻击者。 39 2018.4.2 Cisco Talos 安全厂商对 一个虚假的防病毒恶意软件 KevDroid 的分析 45，并且多家安全厂商对其 相关分析和归属的判断 4748。 2018.5.3 AhnLab 韩国安全厂商详细披露了该组织在过去的攻击活动分析报告，将其命名为 Red Eyes。 40 2018.5.31 Cisco Talos Talos 发现一个针对韩国的恶意 HWP 文档，其 伪装成美国朝鲜首脑会议的韩语标题， 并从失 陷网站上下载 NavRAT。 41 2018.8.22 ESTsecurity 韩国安全厂商披露 Operation Rocket Man，分析 了其针对 Windows 和 Android 两个平台的攻击 活动。 46 2018.10.1 Palo Alto Networks 安全厂商在跟踪分析 NOKKI 恶意代码家族时， 发现其与 Reaper 组织有关，该恶意代码家族主 要 以政治动机攻击俄语和柬埔寨语的人员和组 织 。 42 2018.11.8 奇安信 奇安信 威胁情报中心发现疑似该组织使用的 HWP 软件 0day 样本 12，后续韩国安全厂商确 认了该样本与 Operation Korean Sword 行动的 联系。 43 2018.12.13 ESTsecurity 韩国安全厂商披露 Operation Blackbird，主要为该组织实施针对移动终端的攻击活动。 44 表 4 Group 123 组织在 2018 年公开披露的主要活动情况 15 （四） APT38 美国司法部 在 2018 年 9 月公开披露了一份非常详细的针对朝鲜黑客 PARK JIN HYOK 及其相关组织 Chosun Expo 过去实施的攻击活动的司法指 控 8。 在该报告中指出 PARK 黑客及其相关组织与过去 SONY 娱乐攻击事 件，全球范围多个银行 SWIFT 系统被攻击事件， WannaCry，以及韩国、 美国军事人员和机构被攻击的相关事件有关。 上述相关事件在过去也多次被 国内外安全厂商归属为朝鲜的 APT 组织 Lazarus。 FireEye 在后续发布 APT38 组织报告 7， 并将以全球金融机构和银行为 目标，窃取巨额在线资金为动机的 APT 威胁活动归属为 APT38，以区分 Lazarus Group。 从美国 DoJ 和 FireEye 的报告中我们也可以看到美国情报机构和安全 厂商对 APT 活动的取证和情报溯源的方式，其用于 APT 威胁分析溯源的 数据留存时间跨度之长和广泛的情报数据积累是其能够回溯到真实世界攻 击者身份的基础。 （五） Hades Hades 组织，其最早被发现和披露是因为 在 2017 年 12 月 22 日针对韩国 平昌冬奥会的攻击 ，其向冬奥会邮箱发送带有恶意附件的鱼叉邮件，投递韩 文的恶意文档， 并将 控制域名伪装 为 韩国农林部域名地址。 该组织使用 了 被命名为 Olympic Destroyer 的恶意代码，其对目标主机系 统具有破坏性。 其中 Olympic Destroyer 的代码实现与 Lazarus 使用的破坏 性恶意代码存在一些相似性，被认为可能是攻 击者刻意引入的 false flag。 Hades 的来源归属到目前为止，依然没有非常明确的定论， 结合公开披 露的报告，一种来源是可能来自朝鲜，一种被认为和俄罗斯 APT28 组织有 关 14。 后续安全厂商也发现其新的攻击样本，证明该组织依旧保持活跃 1415。 在这里我们也列举了多个安全厂商对 Hades组织的活动和攻击武器的 主 要 研究情况。 披露时间 披露来源 概述 2018.1.6 McAfee 安全厂商对韩国平昌奥运会遭受攻击的事件的 16 响应的分析披露 49。 2018.2.2 McAfee McAfee 再次披露韩国平昌奥运会攻击事件的相关分析进展 并称其为 Gold Dragon 50。 2018.2.25 SecurityWeek 华盛顿邮报报道 称 ，俄罗斯军方间 谍攻击冬奥 会组织者使用的数百台计算机并试图使其看起 来像朝鲜的攻击 。 51 2018.2.26 Cisco Talos 安全厂商总结冬奥会事件归属问题的分析 52。 2018.3.8 Kaspersky 卡巴斯基对冬奥会攻击事件的分析 53。 2018.6.19 Kaspersky 卡巴斯基发现 该组织新的鱼叉攻击活动，并认为其 TTP 和 APT28 存在一些相似 54。 2018.11.15 Check Point 安全厂商对其使用的新 Dropper 程序的分析55。 表 5 Hades 组织在 2018 年公开披露的主要活动情况 （六） MuddyWater MuddyWater，也被称为 TEMP.Zagros， Seedworm。其最早曝光的攻击 活动于 2017 年 ，主要针对中东和中亚，实施频繁的网络间谍活动。 该组织 常用 PowerShell 实现的攻击后门 POWERSTATS。 MuddyWater 也曾多次向安全研究人员发起“挑衅” 1617。 17 下表列举了该组织在 2018 年的主要活动情况。 披露时间 披露来源 概述 2018.3.12 Trend Micro 安全厂商发现 针对土耳其，巴基斯坦和塔吉克 斯坦组织的活动，该活动涉及多个国家的不同 行业，主要是在中东和中亚 ，并且使用了中文 字符串的 false flag56。 2018.3.13 FireEye FireEye 认为其是来自伊朗的威胁组织 57。 2018.6.14 Trend Micro 该组织在 2017 年起针对 沙特阿拉伯政府 的攻击 58。 2018.7.20 腾讯御见 疑似针对 土耳其安全相关部门 的攻击 59。 2018.10.10 Kaspersky 卡巴斯基对该组织的分析， 其主要以伊拉克和 沙特阿拉伯的政府为目标， 也攻击包括中东， 欧洲和美国 60。 2018.11.28 ClearSky 针对黎巴嫩、阿曼 的攻击活动 61。 2018.11.30 Trend Micro 针对土耳其的攻击活动，使用了新的PowerShell 后门 62。 2018.12.11 Symantec 赛门铁克安全厂商披露 Seedworm（即 MuddyWater）从 2018 年 9 月开始针对 30 个组 织的 130 个受害者的攻击活动，其中包括中东、 欧洲和北美的政府机构、石油天然气、非政府 组织、电信和 IT 企业 63。 表 6 MuddyWater 组织在 2018 年公开披露的主要活动情况 18 第三章 针对 中国 境内的 APT 组织 和威胁 截至目前， 奇安信 威胁情报中心明确的针对中国境内实施攻击活动的， 并且依旧活跃的 公开 APT 组织，包括海莲花，摩 诃草，蔓灵花， Darkhotel， Group 123，毒云藤和蓝宝菇，其中毒云藤和蓝宝菇是 奇安信 在 2018 年下半 年公开披露并命名的 APT 组织。 下面对其中相对活跃的 APT 组织情况进 行回顾。 一、 海莲花 （ APT-C-00） “海莲花” APT 组织是一个长期针对我国政府、科研院所、海事机构、 海域建设、航运企业等领域的 APT 攻击组织，该组织在过去不仅频繁对我 国境内实施 APT 攻击，也针对东南亚周边国家实施攻击，包括柬埔寨，越 南等。 在 2018 年中的全球高级持续性威胁报告中，我们总结了该组织使用的 攻击战术和 技术特点，包括使用开源的代码和公开的攻击工具，如 Cobalt Strike。 在下半年对该组织的持续跟踪过程，我们还发现海莲花组织针对柬 埔寨和菲律宾的新的攻击活动，并且疑似利用了路由器的漏洞实施远程渗透。 18相关漏洞首次公开是由维基解密披露的 CIA Vault7 项目 资料中提及并由 国外安全研究人员发布了相关攻击 利用代码。 并且还关联到该组织在 2017 年疑似利用 永恒之蓝针对国内高校的 攻击测试活动 。虽然我们无法完全确定 海莲花组织利用了上述公开泄露的网络武器库，但结合相关事件发生的时间 线和海莲花组织在过去多次使用公开攻击技术实施攻击活动，我们认为其是 极有可能的。 “海莲花”在下半年的攻击活动中使用了更加多样化的载荷投放形式， 并使用多种白利用技术加载其恶意模块。 白利用技术 相关模块名称 McAfee mcods.exe 文件的白利用 mcvsocfg.dll Flash.exe 的白利用 UxTheme.dll 针对 Google 的白利用 goopdate.dll Word 白利用 wwlib.dll 360tray.exe 的白利用 dbghelp.dll 表 7 海莲花组织常用的白利用技术 19 该组织主要的攻击过程如下： 攻击阶段 使用技术 攻击入口 利用鱼叉邮件投递漏洞文档，如 CVE-2017-11882 漏 洞文档 初始控制 远程下载伪装成图片的 PowerShell 脚本载荷 利用白利用技术执行核心 dll 载荷 横向移动 主要利用系统命令实现横向移动： 使用 nbt.exe 进行扫描 net.exe 实现 IPC 用户添加 MsBuild.exe 在内网 机器上编译生成恶意 dll 模块并执 行 表 8 海莲花组织 的攻击过程 除此以外，海莲花在攻击目标的选择上也出现一些变化，其也延伸至金 融行业，但暂不明确其主要的攻击动机。 二、 毒云藤 （ APT-C-01） 毒云藤（ APT-C-01） ，也被国内其他安全厂商称为穷奇、绿斑。 该组织 从 2007 年开始至今， 对中国国防、政府、科技、教育以及海事机构等重点 单位和部门进行了长达 11 年的网络间谍活动。该组织主要关注军工、中美 关系、两岸关系和海洋相关领域 。 该组织 主要使用鱼叉攻击投放漏洞文档或二进制可执行文件 ，如下图所 示的鱼叉邮件内容。 20 毒云藤组织主要使用的恶意木马包括 Poison Ivy， ZxShell， XRAT 等， 并使用动态域名，云盘，第三方博客作为其控制回传的基础设施。 三、 蓝宝菇 （ APT-C-12） 蓝宝菇（ APT-C-12）组织最早从 2011 年开始持续至今， 对我国政府、 军工、科研、金融等重点单位和部门进行了持续的网络间谍活动。该组织主 要关注核工业和科研等相关信息。被攻击目标主要集中在中国大陆境内。 在 2018 年中的高级持续性威胁报告中曾对该组织进行了介绍。 21 蓝宝菇组织也主要使用鱼叉邮件实施攻击，其投放的文件主要是 RLO 伪装成文档的可执行文件或 LNK 格式文件。 该组织主要使用动态域名或 IDC IP 最为其控制基础设施， 后续也常使 用 AWS S3、新浪云等云服务作为其上传和托管窃取的数据 。 其常使用的恶 意程序包括 Poison Ivy、 Bfnet，以及 PowerShell 实现的后门。 蓝宝菇和毒云藤两个组织从攻击来源属于同一地域，但 使用的 TTP 却存 在一些差异 。 组织名称 毒云藤 蓝宝菇 最早攻击活 动时间 2007 年 2011 年 攻击目标 国防、政府、科技、教育以及 海事机构 政府、军工、科研、金融 攻击入口 鱼叉攻击 鱼叉攻击 初始载荷 漏洞文档或二进制可执行文件 RLO伪装成文档的可执行文件 或 LNK 格式文件 恶意代码 Poison Ivy， ZxShell， XRAT Poison Ivy、 Bfnet PowerShell 实现的后门 控制回传 动态域名，云盘，第三方博客 动态域名或 IDC IP AWS S3、新浪云等云服务 表 9 毒云藤和蓝宝菇 TTP 对比 22 四、 Darkhotel（ APT-C-06） 趋势科技在今年 7月公开捕获了又一例 VBScript Engine 的在野 0day 漏 洞 （ CVE-2018-8373） 攻击样本 20。 奇安信 威胁情报中心结合内部的威胁情 报数据关联到该在野攻击与 Darkhotel 有关 19，该组织在今年多次利用 VBScript Engine 的相关 0day 漏洞实施在野攻击活动 。 该组织的具体攻击流程如下图。 23 第四章 APT 威胁的现状和挑战 2018 年 ， APT 威胁的攻防双方处于白热化的博弈当中 。作为 APT 防御 的安全厂商比往年更加频繁的跟踪和曝光 APT 组织的攻击活动， 其中包括 新的 APT 组织或 APT 行动，更新的 APT 攻击武器和在野漏洞的利用。 而 APT 威胁组织也不再局限于其过去固有的攻击模式和武器 ， APT 组织不仅需 要达到最终的攻击效果，还刻意避免被防御方根据留下的痕迹和特征追溯到 其组织 身份 。 APT 威胁也不再是 APT 组织与安全厂商之间独有的“猫和老鼠”的游 戏， 还作为国家与国家之间博弈以及外交舆论层面的手段。 例如美国司法部 在 2018 年就多次公开指控了被认为是他国黑客成员对其本土的网络威胁活 动，最为详细的就是指控朝鲜黑客 PARK JIN HYOK 历史涉及的攻击活动 8， 而过去影子经纪人曝光的 NSA 网络武 器库资料，维基解密曝光的 Vault 7 项 目以及 卡巴斯基披露的 Slingshot 攻击行动都被认为与美国本土情报机构有 关 21。 一、 多样化的攻击投放方式 （一） 文档投放的形式多样化 在过去的 APT 威胁或者网络攻击活动中，利用邮件投递恶意的 文档类 载荷是非常常见的一种攻击方式，例如鱼叉邮件攻击，钓鱼邮件或 BEC 攻 击，垃圾邮件攻击。 而通常投放的文档大多为 Office 文档类型，如 doc、 docx， xls， xlsx。 针对特定地区、特定