腾讯安全 我 全球高级持续性威胁（ APT） 2019 年上半年研究报告 腾讯安全御见威胁情报中心 2019.7 TLP： WHITE 腾讯 安全御见威胁情报中心 1 / 57 目录 一、 前言 .2 二、 2019 年上半年攻击概览 .2 三、 中国面临的 APT 攻击形势 .6 3.1 东亚方向的威胁 .7 3.2 东南亚方向的威胁 . 12 3.3 南亚方向的威胁 . 17 3.4 其他方向的威胁 . 22 四、 国际 APT 攻击形势 . 23 4.1 东亚地区 . 23 4.2 南亚地区 . 30 4.3 中东地区 . 42 4.4 欧洲地区 . 47 五、 威胁变化趋势及未来预测 . 51 5.1 网络攻击民生化 . 51 5.2 网络攻击军事化 . 51 5.3 APT 武器民用化 . 51 5.4 攻击溯源复杂化 . 52 5.5 APT 威胁往移动端扩散 . 53 六、 总结 . 53 七、 安全建议 . 53 八、 附录 . 55 8.1 附录 1：腾讯安全御见威胁情报中心 . 55 8.2 附录 2：参考链接 . 56 TLP： WHITE 腾讯 安全御见威胁情报中心 2 / 57 一 、 前言 高级可持续性攻击，又称 APT 攻击，通常由国家背景的相关攻击组织进行攻击的活动。 APT 攻击常用于国家间的网络攻击行动。主要通过向目标计算机投放特种木马（俗称特马），实施窃取国家机密信息、重要企业的商业信息、破坏网络基础设施等活动，具有强烈的政治、经济目的。 整个 2019 年上半年，网络攻击频发， 全球的网络安全形势不容乐观。 腾讯安全御见威胁情报 中心 根据团队自己的研究以及搜集的国内外同行的攻击报告，编写了该份 2019年 上 半年 APT 攻击研究报告。 根据研究结果，我们认为主要的结论如下： 1、 中国依然是 APT 攻击的主要受害国 ，受到来 自于东亚、东南亚、南亚、欧美等各个区域的网络威胁 ； 2、 网络攻击形势跟地域政治局势 有相当密切的关联，地域安全形势复杂的地区，往往是APT 攻击最为严重和复杂的地区； 3、 APT 攻击不再 局限于窃取敏感材料，攻击目标开始跟民生相关，如阿根廷、委内瑞拉的大断电等； 4、 大量的 APT 攻击武器库的泄露，使得网络安全形势更加严峻，如 军用 网络 武器 的民用化等，同时也给安全研究者的追踪、溯源带来了一定的困难。 二 、 2019 年上半年攻击概 览 2019 年上半年来，网络安全大事频发， APT 攻击也持续高发，为了掌握 APT 攻击在全球的活动情况， 腾讯安全御见 威胁情报中心针对全球所有安全团队的安全研究报告进行TLP： WHITE 腾讯 安全御见威胁情报中心 3 / 57 研究，并提取了相关的指标进行持续的研究和跟踪工作。同时，我们针对相关的研究报告进行了一个梳理和归纳，经过不完全统计， 2019 年上半年，全球共有 42 个安全厂商共计发布了 144 篇 APT 攻击报告，其中有 7 家中国的的安全厂商发布了 43 篇攻击报告，报告数量同步 2018 年增长了近 5 成。 由于安全公司众多，监测可能有所遗漏，敬请谅解。 我们也只选取了有具体攻击活动 和明确组织信息 的报告做为统计和比对。 图 1：国内外主要安全厂商披露 APT 数量 2019 年上半年，国内共有 7 家安全厂商披露了 43 篇攻击报告，共涉及 APT 攻击组织26 个，其中海莲花被披露的次数最多，共计 7 次，其次为污水（ MuddyWater），共计 5次。 TLP： WHITE 腾讯 安全御见威胁情报中心 4 / 57 图 2：国内安全厂商披露 的主要 APT 组织攻击事件 数量 从被攻击地域分布来看， 根据 腾讯安全御见 威胁情报中心的统计显示（不含港澳台地区） ， 2019 年上半年中国大陆受 APT 攻击最多的地区为广西和北京，此外还有辽宁、云南、海南、四川、广东、上海等。 详见下图（不含港澳台地区）。 TLP： WHITE 腾讯 安全御见威胁情报中心 5 / 57 图 3： 2019 年 上半年 中国大陆被 APT 攻击的地区分布图 而从行业分布来看， 2019 年上半年针对中国大陆的攻击中，主要受攻击对象包括政府部门、国有企业、科研 机构 等，具体分布如下： TLP： WHITE 腾讯 安全御见威胁情报中心 6 / 57 图 4：国内 被攻击目标属性分布 三 、 中 国面临的 APT 攻击 形势 中国 历来都是 APT 攻击的 主要 受害者，随着中国经济 的快速发展，以及国际地位的不断攀升，中国面临的外部威胁形势更加 严峻。 根据 腾讯安全御见 威胁情报中心的监测以及公开的报告和资料，我们将在 2019 年上半年对中国大陆有过攻击的组织按疑似的地理位置分为东北亚方向、东亚方向、东南亚方向、南亚方向、其他方向。 TLP： WHITE 腾讯 安全御见威胁情报中心 7 / 57 组织归属地 代表 东亚 DarkHotel、 Group123（ APT37） 、 Lazarus、 穷奇（ 毒云藤 ） 东南亚 海莲花（ APT32） 南亚 BITTER（蔓灵花）、白象、 Gorgon Group 其他 方程式 表 1： 2019 年上半年攻击中国的 APT 组织地域分布 3.1 东亚方向的威胁 东亚的 威胁 主要来自朝鲜半岛 等地区 ，此方向组织具有很强的政治背景，常攻击我国政府、 外贸、金融、能源等领域的公司、个人及相关科研单位，该方向黑客组织十分庞大，往往呈集团化运作 。最典型的攻击组织代表就是 DarkHotel、 Group123（ APT37）、 Lazarus、穷奇 （毒云藤） 等 。 2019 年以来， 这几个 典型组织都比较活跃。 3.1.1 DarkHotel DarkHotel 组织旗下的寄生兽长期对我国外贸公司进行持续性攻击， 在 2019 年上半年再次针对中国的外贸企业进行了攻击活动。 该组织具有强大的木马开发能力和 0day 漏洞利用能力，持续与国内主流安全软件进行安全对抗。新版的寄生兽木马依然使用寄居在正常的文件中 疑似 通过水坑来感染目标系统，与以往不同的是，以前是通过将大量开源代码加入到木马工程中编译以实现隐藏恶意代码的目的，今年则出现通过替换正常的软件文件来实现劫持的目的，更加隐蔽和难以清理。 TLP： WHITE 腾讯 安全御见威胁情报中心 8 / 57 图 5： 捆绑有寄生兽木马的网易邮箱大师程序 感染目标系统后，通过下发恶意插件的方式，对被控机器进行持久性攻击，插件如下： 插件名 功能 rmet_x64/ rmet_x86 Meterpreter，用于 远程控制 ，持续渗透 mkmfc.dll 键盘记录插件，本插件用于键盘记录，记录按键信息、窗口标题、时间 weepyll_x64.dll 内网渗透插件，主要用于横向移动 hird.dll 用于用于窃取数据库文件 nksen.dll 用于屏幕监控 igfxrot.exe/TiWork.exe 开源远程控制木马 XRAT，该远控可以进行键盘记录、远程下载执行恶意文件、上传文件、反向代理等功能 表 2： 寄生兽下发插件的功能列表 TLP： WHITE 腾讯 安全御见威胁情报中心 9 / 57 3.1.2 Group123（ APT37） 该组织疑似朝鲜半岛某国政府背景，经常攻击国内的外贸公司、在华外企高管， 甚至政府部门。该 组织最常使用鱼叉钓鱼邮件进行定向攻击，使用 Nday 或者 0day 漏洞进行木马捆绑和伪装。在拿下目标及其后会尝试横向移动以及对根据系统信息发现定制模块，常使用 dropbox 等公共网络资源作为 C2、中转、存储等。 2019 该组织仍然十分活跃。 图 6： Group123 的攻击诱饵