免责声明 本报告是瑞星与国家信息中心信息与网络安全部联合发布，综合瑞星 “ 云安全 ” 系统、瑞星客户服务中心、瑞星反病毒实验室、瑞星互联网攻防实验室、中国信息安全年鉴（ 2017年）、瑞星威胁情报平台等部门的统计、研究数据和分析资料，针对中国 2017年 1至 12月的网络安全现状与趋势进行统计、研究和分析。本报告提供给媒体、公众和相关政府及行业机构作为互联网网络安全状况的介绍和研究资料，请相关单位酌情使用。如若本报告阐述之状况、数据与其他机构研究结果有差异，请使用方自行辨别，瑞星公司和国家信息中心信息与网络安全部不承担与此相关的一切法律责任。 目录 大事记 国家网络安全新举措 . 8 一、恶意软件与恶意网址 . 9 （一）恶意软件 . 9 1. 2017年病毒概述 . 9 2. 2017年病毒 Top10 . 9 3. 2017年中国勒索软件感染现状 . 10 （二）恶意网址 . 10 1. 2017年全球恶意网址总体概述 . 10 2. 2017年中国恶意网址总体概述 . 10 3. 2017年中国诈骗网站概述 . 10 4. 2017年中国主要省市访问诈骗网站类型 . 11 5. 诈骗网站趋势分析 . 11 6. 2017年中国挂马网站概述 . 11 7. 挂马网站趋势分析 . 11 二、移动互联网安全 . 12 （一）手机安全 . 12 1.2017年手机病毒概述 . 12 2.2017年手机病毒 Top5 . 12 3. 2017年 Android手机漏洞 Top5 . 12 （二） 2017年移动安全事件 . 12 1.共享单车扫码诈骗事件 . 12 2.315曝光人脸识别技术成手机潜在威胁 . 12 3.勒索病毒伪装成王者荣耀辅助工具袭击移动设备 . 13 4.亚马逊、小红书用户信息泄露助长电话诈骗 . 13 5.病毒伪装 “Gogle Play” 盗取用户隐私 . 13 6.手机共享充电可能会泄露个人隐私 . 13 7.安卓爆重大安全漏洞 黑客可以任意篡改 App . 14 三、互联网安全 . 14 （一） 2017年全球网络安全事件解读 . 14 （二） 2017年 APT攻击事件 . 16 四、趋势展望 . 19 （一）勒索病毒技术手段愈加复杂 . 19 （二）挖矿类病毒或将迎来爆炸性增长 . 19 （三）物联网（ IoT）设备面临的安全威胁越发突出 . 19 （四）区块链安全迎接新的挑战 . 19 专题 1：微信链条式推广引入的灰色地带 . 21 专题 2： “ 羊毛党 ” 造就现象级 “ 薅羊毛 ” . 27 专题 3： 恶意代码隐身术分析 . 37 报告摘要 l 大事记 国家网络安全新举措：习近平主持召开国家安全工作座谈会，对网络安全工作提出明确要求；中华人民共和国网络安全法实施；国家网络安全事件应急预案发布； l 2017年瑞星“云安全”系统共截获病毒样本总量 5,003万个，病毒感染次数 29.1亿次，病毒总体数量比 2016年同期上涨 15.62%。北京市病毒感染 3.01亿人次，位列全国第一，其次为新疆省2.49亿人次。 l 2017年瑞星“云安全”系统在全球范围内共截获恶意网址（ URL）总量 8,011万个，其中挂马网站4,275万个，诈骗网站 3,735万个。美国恶 意 URL总量为 2,684万个，位列全球第一，其次是中国1,350万个，韩国 507 万个，分别为二、三位。 l 2017年瑞星“云安全”系统共截获手机病毒样本 505万个，新增病毒类型以流氓行为、隐私窃取、系统破坏、资费消耗四类为主，其中流氓行为类病毒占比 23.3%，位居第一。其次是隐私窃取类病毒占比 22.3%，第三名是系统破坏类病毒，占比 19%。 l 2017年 移动安全事件：共享单车扫码诈骗事件； 315曝光人脸识别技术成手机潜在威胁；亚马逊、小红书用户信息泄露助长电话诈骗；勒索病毒伪装成王者荣耀辅助工具袭击移动设 备；手机共享充电可能会泄露个人隐私；病毒伪装“ Google Play”盗取用户隐私。 l 2017年全球网络安全事件解读： The Shadow Brokers泄露方程式（ Equation Group）大 量 0day；WanaCry勒索袭击全球； Petya病毒借勒索之名袭击多国； Xshel和 CClearner被植入后门； WPA2协议曝高危漏洞； BadRabit突袭东欧；大量家庭摄像头被入侵； l 趋势展望：勒索病毒技术手段愈加复杂；挖矿类病毒或将迎来爆炸性增长；物联网（ IoT）设备面临的安全威胁越发突出；区块链安全迎接新的挑战； l 专题 1：微信链条式推广引入的灰色地带。不法分子通过技术手段，在微信文章中插入各种形态广告，以红包的形式诱导用户转发推广，形成裂变式传播，然后不法分子从广告中谋取利益。 l 专题 2：“羊毛党”造就现象级“薅羊毛”。“羊毛党”组织庞大，尤其是集团羊毛党，他们有组织、有纪律、分工明确。他们拥有大量各类平台的小号，并且开发自动化抢购平台，在变现环节形成了完整的产业链，给企业造成巨大危害。 l 专题 3：恶意代码隐身术分析。随着人工智能技术在安全检测方面的应用，对于单个样 本，杀软检测的信息越来越细，任何不加修饰的恶意代码直接暴露在杀软面 前 存活概率微乎其微，为了生存，恶意软件想尽各种办法来隐藏自己，无论是人还是机器，你很难发现里面是否藏着恶意代码。 大事记 国家网络安全新举措 1、习近平主持召开国家安全工作座谈会，对网络安全工作提出明确要求 2017年 2月 17日，中共中央总书记、国家主席、中央军委主席、中央国家安全委员会主席习近平主持召开国家安全工作座谈会并发表重要讲话，强调要突出抓好政治安全、经济安全、国土安全、社会安全、网络安全等各方面安全工作。要筑牢网络安全防线，提高网络安全保障水平，强化关键信息基础设施防护，加大核心技术研发力度和市场化引导，加强网络安全预警监测，确保大数据安全，实现全天候全方位感知和有效防护。 2、网络空间国际合作战略发布，提出了破解全球网络空间治理难题的中国方案 2017年 3月 1日，经中央网络安全和信息化领导小 组批准，外交部和国家互联网信息办公室 1日共同发布网络空间国际合作战略（下称“战略”）。战略以和平发展、合作共赢为主题，以构建网络空间命运共同体为目标，就推动网络空间国际交流合作首次全面系统提出中国主张，为破解全球网络空间治理难题贡献中国方案，是指导中国参与网络空间国际交流与合作的战略性文件。 3、十三五国民经济和社会发展规划全面加强网络安全工作 2017年 3月 17日，中华人民共和国国民经济和社会发展第十三个五年规划纲要发布。网络安全和信息化工作在“十三五”规划中得到全面加强。“十三五”规划第六篇 拓展网络经济空间指出，实施网络强国战略，统筹网络安全和信息化发展，完善国家网络安全保障体系，强化重要信息系统和数据资源保护，提高网络治理能力，保障国家信息安全，并强调全面保障重要信息系统安全，积极发展信息安全产业。 4、中华人民共和国网络安全法实施 2017年 6月 1日，中华人民共和国网络安全法正式实施，作为我国网络领域的基础性法律，网络安全法的公布和施行，不仅从法律上保障了广大人民群众在网络空间的利益，有效维护了国家网络空间主权和安全，同时将严惩破坏我国网络空间的组织和个人。 5、国家网 络安全事件应急预案发布 2017年 6月 27日，中央网络安全和信息化领导小组办公室印发国家网络安全事件应急预案，建立网络安全事件分级体系，并制定对应的预警和应急响应措施。中央网信办统筹协调组织国家网络安全事件应对工作，建立健全跨部门联动处置机制，工业和信息化部、公安部、国家保密局等相关部门按照职责分工负责相关网络安全事件应对工作。 一、恶意软件与恶意网址 （一）恶意软件 1. 2017年病毒概述 （ 1）病毒疫情总体概述 2017年瑞星“云安全”系统共截获病毒样本总量 5,003万个，病毒感染次数 29.1亿次，病毒总体数量比 2016年同期上涨 15.62%。 报告期内，新增木马病毒占总体数量的 51.83%，依 然是第一大种类病毒。蠕虫病毒为第二大种类病毒，占总体数量的 24.49%，第 三 大 种 类 病 毒 为 灰 色 软 件 病 毒（ 垃 圾 软 件 、广告软件、黑客工具、恶意软件），占总体数量的 10.77%。 报告期内， CVE-2017-0147漏洞利用占比 55%，位 列第一位。该漏洞便是“永恒之蓝”漏洞，它是 2017年泄露的 NSA网络武器库中的一款攻击程序，其中利用了多个Windows SMB服务的零日漏洞。“永恒之蓝”威力巨大，利用此工具可以非常简单地入侵 Windows系统。在今年 5月，臭名昭著的勒索蠕虫 WanaCry利用的便是“永恒之蓝”，从而造成了波及全球的破坏。 （ 2）病毒感染地域分析 报告期内，北京市病毒感染 3.01亿人次，位列全国第一，其次为新疆省 2.49亿人次及广东省 2.03亿人次。 2. 2017年病毒 Top10 根据病毒感染人数、变种数量和代表性进行综合评估，瑞星评选出了 2017年 1至 6月病毒 Top10： 3. 2017年中国勒索软件感染现状 报告期内，瑞星“云安全”系统共截获勒索软件样本92.99万个，感染共计 1,346万次，其中广东省感染 262万次，位列全国第一，其次为上海市 159万次，北京市 131万次及江苏省 98万次。 （二）恶意网址 1. 2017年全球恶意网址总体概述 2017年瑞星“云安全”系统在全球范围内共截获恶意网址（ URL）总量 8,011万个，其中挂马网站 4,275万个，诈骗网站 3,735万个。美国恶意 URL总量为 2,684万个，位列全球第一，其次是中国 1,350万个，韩国 507万个，分别为二、三位。 2. 2017年中国恶意网址总体概述 报告期内，北京市恶意网址（ URL）总 量 为 558万个，位列全国第一，其次是陕西省 233万个，以及江苏省 100万个，分别为二、三位。 注：上述恶意 URL地址为恶意 URL服务器的物理地址。 3. 2017年中国诈骗网站概述 2017年瑞星“云安全”系统共拦截诈骗网站攻击 740万余次 ，广东受诈骗网站攻击 97万次，位列第一位，其次是北京市受诈骗网站攻击 92万次，第三名是浙江省受诈骗网站攻击 75万次。 报告期内，恶意推广类诈骗网站占 51%，位 列 第 一 位 ，其次是赌博类诈骗网站占 22%，情色类诈骗网站占 12%，分别为二、三位。 4. 2017年中国主要省市访问诈骗网站类型 报告期内，北京、河北、湖南等地区访问的诈骗网站类型以情色论坛为主，广东、黑龙江等地区则以在线赌博为主，辽宁、上海、浙江等地区则以恶意推广为主，其余地区访问恶意软件诈骗网站居多。 5. 诈骗网站趋势分析 2017年情色、赌博类诈骗网站占比较多，这些网站大多通过非法手段进行传播，赌博类诈骗网站利用高利润的方式吸引用户，前期平台方会在后台操作让用户少输多赢，当用户产生一定的兴趣后，再进行后台操作赢取用户钱财。诈骗网站的传播途径： Ø 利用微信朋友圈以软文方式进行诱导传播。 Ø 利用 QQ群发方式进行范围传播。 Ø 利用短信群发平台以中奖方式进行传播。 Ø 利用游戏辅助软件进行传播。 Ø 利用大型互联网平台发布信息进行传播。 6. 2017年中国挂马网站概述 2017年瑞星“云安全”系统共拦截挂马网站攻击 540万余次，北京市受挂马攻 击 356万次，位列第一位，其次是陕西省受挂马攻击 153万次。 7. 挂马网站趋势分析 2017年挂马攻击相对减少，攻击者一般自建一些导航类或色情类网站，吸引用户主动访问。有些网站会锁定用户浏览器主页，当用户访问会自动跳转到指定的恶意网站，大部分恶意网站会挂载木马程序诱导用户下载，进而窃取用户的账户信息，非法分子利用窃取的信息进行诈骗或资金盗刷。挂马防护手段主要为： Ø 更新到最新的浏览器版本。 Ø 禁止浏览陌生邮件或手机短信发送的链接网址。 Ø 禁止浏览不正规或非法网站。 Ø 禁止在非正规网站下载软件程序。 Ø 安装杀 毒防护软件。 二、移动互联网安全 （一）手机安全 1.2017年手机病毒概述 2017年瑞星“云安全”系统共截获手机病毒样本 505万个，新增病毒类型以流氓行为、信息窃取、系统破坏、资费消耗四类为主，其中流氓行为类病毒占比 23.3%，位 居 第一。其次是隐私窃取类病毒占比 22.3%，第 三 名 是 系 统 破 坏类病毒，占比 19%。 2.2017年手机病毒 Top5 3. 2017年 Android手机漏洞 Top5 （二） 2017年移动安全事件 1.共享单车扫码诈骗事件 2017年 2月，有人发现共享单车的“扫码骑走”上方还贴着其他二维码，贴上去的二维码扫描之后立刻出现了转账提示！ 用户手机扫描此类二维码后，或被要求直接转账，或被要求下载可疑软件，致使资金账户面临被盗刷的风险。 2.315曝光人脸识别技术成手机潜在威胁 2017年 315晚会上，技术人员演示了人脸识别技术的安全漏洞利用，不管是通过 3D建模将照片转化成立体的人脸模型，还是将普通静态自拍照片变为动态模式，都可 以骗过手机上的人脸识别系统。此外， 315还揭露了公共充电桩同样是手机的潜在威胁，用户使用公共充电桩的时候，只要点击“同意”按钮，犯罪分子就可以控制手机，窥探手机上的密码、账号，并通过被控制的手机进行消费。 3.勒索病毒伪装成王者荣耀辅助工具袭击移动设备 2017年 6月，一款冒充“王者荣耀辅助工具”的勒索病毒，通过 PC端和手机端的社交平台、游戏群等渠道大肆扩散，威胁几乎所有 Android平台，设备一旦感染后，病毒将会把手机里面的照片、下载、云盘等目录下的个人文件进行加密，如不支付勒索费用，文件将会 被破坏，还会使系统运行异常。 4.亚马逊、小红书用户信息泄露助长电话诈骗 2017年 6月，亚马逊和小红书网站用户遭遇信息泄露危机，大量个人信息外泄导致电话诈骗猛增。据了解，亚马逊多位用户遭遇冒充“亚马逊客服”的退款诈骗电话，其中一位用户被骗金额高达 43万，小红书 50多位用户也因此造成 80多万的损失。 5.病毒伪装“ Google Play”盗取用户隐私 2017年 6月，一款伪装成“ Google Play”的病毒潜伏在安卓应用市场中，该病毒会伪装成正常的 Android market app，潜伏在安卓手机 ROM中或应用市场中诱导用户下载安装。该病毒安装后无启动图标，运行后，会向系统申请大量高危权限 (发短信和静默安装等 )，随后伪装成Google Play应用并安装和隐藏在 Android系统目录下。因为在“ /system/ap/”路径下的 app默认都是拥有system权限的，所以该病毒样本可以在用户不知情的情况下，在后台静默下载并安装应用到手机当中，还会获取用户手机中的隐私信息，给用户造成系统不稳定或隐私泄露等安全性问题。 6.手机共享充电可能会泄露个人隐私 在公共场合使用免费充电桩充电时，许多人都不太注意手机上“是否开启 USB调试”或“是否信任该设备”的提示 信息，如果用户点击“是”或“信任”按钮，就相当于让充电设备掌握了手机的绝对控制权，黑客就可以随意窃取手机里的信息。 7.安卓爆重大安全漏洞 黑客可以任意篡改App 2017年 12月，谷歌通过其官方网站通告了一个高危漏洞 CVE-2017-13156（发现厂商将其命名为 Janus），该漏洞可以让攻击者无视安卓签名机制，通过绕过应用程序签名验证的形式，对未正确签名的官方应用植入任意恶意代码，目前安卓 5.08.0等版本系统均受影响，预计每日上千万的活跃安卓应用将存在被利用可能，巨大的潜在威胁风险使得 Janus漏洞成为了安卓系统年度大漏洞！ 网友安装这些仿冒 App后，不仅会泄露个人账号、密码、照片、文件等隐私信息，手机更可能被植入木马病毒，进而导致手机被 ROOT，甚至被远程操控。 三、互联网安全 （一） 2017年全球网络安全事件解读 1.The Shadow Brokers泄露方程式大量 0day漏洞 2017年 4月， The Shadow Brokers再度放出大量“方程式组织”使用的黑客工具，包括 OddJob、 EasyBe、EternalRomance、 FuzBunch、 EducatedScholar、EskimoRol 、 EclipsedWing、 EstemAudit、EnglishMansDentist、 MofConfig、 ErraticGopher、EmphasisMine、 EmeraldThread、 EternalSynergy、EwokFrenzy、 ZippyBeer、 ExplodingCan、 DoublePulsar等。其中有多个可以远程攻击 Windows的 0day漏洞。受影响的 Windows 版本包括 Windows NT， Windows 200、Windows XP、 Windows 203、 Windows Vista、 Windows 7、 Windows 8、 Windows 208、 Windows 208 R2、Windows Server 2012 SP0等。这次泄露的工具也直接导致了后来 WanaCry、 Petya的全球爆发。 2.WannaCry勒索袭击全球 2017年 5月，一款名为 WanaCry的勒索病毒席卷全球，包括中国、美国、俄罗斯及欧洲在内的 100多个国家，我国部分高校内网、大型企业内网和政府机构专网遭受攻击较为严重。勒索软件利用的是微软 SMB远程代码执行漏洞CVE-2017-0144，微 软 已 在 今 年 3月份发布了该漏洞补丁。2017年 4月黑客组织影子经纪人（ The Shadow Brokers）公布的方程式组织（ Equation Group）使 用 的“ EternalBlue”中包含了该漏洞利用程序，而该勒索软件的攻击者在借鉴了“ EternalBlue”后发 起了这次全球性大规模勒索攻击。 3.Petya病毒借勒索之名袭击多国 2017年 6月，一个名为“ Petya（中文音译彼佳）”的新勒索病毒再度肆虐全球，包括乌克兰首都国际机场、乌克兰国家储蓄银行、邮局、地铁、船舶公司、俄罗斯的石油和天然气巨头 Rosneft、 丹麦的航运巨头马士基公司、美国制药公司默克公司、美国律师事务所 DLA Piper、乌克兰一些商业银行以及部分私人公司、零售企业和政府系统，甚至是核能工厂都遭到了攻击。影响的国家有英国、乌克兰、俄罗斯、印度、荷兰、西班牙、丹麦等。与 WanaCry相比，该病毒会加密 NTFS分区，覆盖 MBR，阻 止 机 器 正 常 启 动 ，影响更加严重。 4.Xshell和 CClearner被植入后门 2017年 7月，著名服务器终端管理软件 Xshel在发布的 5.0 Build 1322官方版本中被植入后门，用户下载或更新到该版本均会中招。由于相关软件在国内程序开发和运维人员中被广泛使用，可能会导致大量用户服务器账号密码泄露。 无独有偶， 2017年 9月，著名系统优化工具 CCleaner的某个版本被发现植入后门，大量使用该工具的用户将面临泄密风险。这是继 Xshel后门 事件后，又一起严重的软件供应链来源攻击事件。 CCleaner是一款免费的系统优化和隐私保护工具，主要用来清除 Windows系统不再使用的垃圾文件，以腾出更多硬盘空间，并且还具有清除上网记录等功能。 5.WPA2协议曝高危漏洞 2017年 10月，国外研究人员 Mathy Vanhoef在WPA2协议中发现严重安全漏洞，几乎影响所有 Wi-Fi设备，当一台设备加入一个受保护的 Wi-Fi网络时，一个名为四次握手的流程便会发生，这种“握手”会确保客户端与接入点都能拥有正确的登录信息，并生成一个新的加密密钥来保护网络 流量。这个加密密钥会在四向握手的第三步安装，但如果接入点认为消息丢失，有时会重复发送相同的密钥。 研究发现，攻击者可以迫使接入点安装相同的加密密钥，这样便可借此攻击加密协议，并破解数据。攻击者可以利用 KRACK攻击读取敏感信息，如信用卡账号、密码、聊天信息、电子邮件、照片等。 6.蓝牙协议爆严重安全漏洞 2017年 8月，物联网安全研究公司 Armis在蓝牙协议中发现了 8个零日漏洞，这些漏洞将影响超过 53亿设备 从 Android、 iOS、 Windows以及 Linux系统设备到使用短距离无线通信技术的物联网设备，利用这些蓝牙协议漏洞，Armis构建了一组攻击向量(attack vector)“ BlueBorne”，演示中攻击者完全接管支持蓝牙的设备，传播恶意软件，甚至建立一个“中间人”（ MITM）连接。 7.BadRabbit突袭东欧 2017年 10月，新型勒索病毒 BadRabit在东欧爆发 ,乌克兰、俄罗斯等企业及基础设施受灾严重。该病毒会伪装成 flash_player，诱导用户下载，当用户下载后，病毒会加密特定格式文件，修改 MBR，并 索 要 比 特 币 。 BadRabit可 以通过弱口令和漏洞在局域网扩散，成为勒索病毒蠕虫化的典型代表。 8.大量家庭摄像头被入侵 2017年 6月，央视曝光大量家庭摄像头遭入侵。很多人家里都装有智能摄像头，下载一个相关联的应用程序，就可以随时用手机查看家里情况，但是由于很多智能摄像头存在弱口令、漏洞等问题，导致大量家庭摄像头遭入侵。一旦攻击者入侵成功，便可以远程观看受害者家中视频。 9.FireBal火球病毒感染超过 2.5亿电脑 2017年 6月，由中国商业公司控制的 Fireball(火球 )病毒，感染全球约 2.5亿部计算机，感染最严重的国家是印度、巴西和墨西哥。火球病毒通过捆绑正常软件传播，中毒电脑浏览器主页、默认搜索页会被锁定且难以更改，黑客利用广告插件植入广告获利，去年一年获利近 8000万元。 （二） 2017年 APT攻击事件 1.白象 APT组织 白象 APT组织，又称摩诃草组织（ APT-C-09）、丰 收行动、 HangOver、 VICEROY TIGER、 The Dropping Elephant、 Patchwork。该 组 织 是 一 个 来 自 于 南 亚 地 区 的 境外 APT组织，最早由安全公司 Norman于 2013年曝光。该组织在针对中国地区的攻击中，主要针对政府机构与科研教育领域。 中国在过去五年持续遭到白象 APT组织的网络攻击，该组织主要使用鱼叉攻击，同时也使用基于即时通讯工具和社交网络作为恶意代码的投递途径。其攻击使用的恶意代码主要针对 Windows系统，整个攻击过程使用了大量系统漏洞，其中至少包括一次 0day漏洞攻击。 2、越南背景 APT32攻击亚洲国家 APT32又称海莲花、 OceanLotus、 APT32，有 信 息 表明该组织为越南背景，主要针对东南亚国家进行攻击，其中包括越南周边国家的政府、公司等机构，越南被攻击的主要目标为，跨国公司在越南的分公司和全球咨询公司在越南的办事处，以及持不同政见者和记者。 2012年开始攻击中国的政府、海事机构、科研院所、航运企业等。主要通过水坑攻击和鱼叉邮件进行攻击。水坑攻击下载的样本伪装为浏览器和 flash更新、字体等。鱼叉邮件攻击中所发送的邮件附件，文件名非常具有针对性，预先对国内时事热点和被攻击单位业务进行了一定的了解，攻击成功率高。 攻击主要特点为： （ 1）善 于 使 用 白 利 用 ，曾 利 用 过 谷 歌 、赛 门 铁 克 等 公 司 带 有数字签名的软件。 （ 2）攻 击 网 站 较 为 明 目 张 胆 ，替 换 下 载 链 接 ，植 入 恶 意 脚 本 ，伪装 flash更新，伪装字体。 （ 3）定 制 后 门 和 开 源 工 具 相 结 合 ，善 于 使 用 Meterpreter、Cobalt Strike。 （ 4）掌 握 的 资 源 较 丰 富 ，提 前 收 集 过 被 攻 击 者 的 情 报 ，善 于使用社工。 3、 Turla监视全球领事馆和大使馆 Turla由 BAE研究员首次发现，又称 Waterbug 、Venomous Bear、 Krypton。自 2007年以来一直处于 活跃状态，其主要针对欧洲外交部等政府机构与军工企业展开攻击活动。 2017年 8月 30日 ESET发布研究报告披露， Turla使用隐秘后门“ Gazer”监控全球的领事馆和大使馆。恶意软件 Gazer 由开发人员采用 C+程序编写，经鱼叉式钓鱼攻击进行传播，可由攻击者通过 C C服务器远程接收加密指令，并可使用受损合法网站（多数使用 WordPres）作 为代理规避安全软件检测。 有趣的是，不仅早期版本的 Gazer签发了 Comodo颁发的 “ Solid Loop