2020年度高级威胁态势研究报告.pdf

高级威胁态势研究报告 2020年度安恒威胁情报中心猎影实验室杭州安恒信息技术股份有限公司 DBAPPSecurity Co., Ltd. 官网：电邮：客服专线：+86-400-6059-110 直通专线：首席客户成功官沈亚婷 18100188999 首席客户成功官刘蓝岭 18100189888 地址：杭州市滨江区西兴街道联慧街188号安恒大厦座机：0571-88380999/28860999 传真：0571-28863666 杭州总部科创板：688023 本品为宣传资料版权及最终解释权归安恒信息所有安恒信息官方微信安恒信息服务号国际大型综合性赛事网络信息安全类最高层级合作 The highest level of cooperation in network information security of large-scale comprehensive international events Make security more intelligent Make intelligence more secure 前言 2020 年是比较特殊的一年，年初爆发的新冠疫情对全球造成了巨大影响。许多攻击组织趁机借题发挥，假借疫情之口对相关目标肆意进行攻击，其中不乏具有国家背景的实力雄厚的黑客组织。在这一年里，地缘政治仍是攻击行动的重要因素，网络暗战是窃取情报的关键渠道，这些暗战隐形在硝烟之下，杀伤力不可小视。在中印边境冲突、白俄罗斯大选、印巴问题、朝韩关系、美俄关系等事件中，都可以窥见网络空间方面的博弈。纵观全年，国内仍是境外势力的重要攻击目标，南亚、东南亚、朝鲜半岛、东欧、美国等某些国家和地区背景的威胁组织持续对我国境内进行网络攻击，尤其是美国更是对我国持续渗透至少长达十余年。特别是在疫情期间、中印边境冲突、重大会议等特殊时期，威胁组织都发动了网络攻击行动。而在这些已被发现的攻击行动背后，可能还存在着未被发现的、更高级更隐蔽的威胁。由此推断，国内网络安全形势仍面临巨大考验。安恒威胁情报中心通过对2020年全球发现和披露的高级威胁事件，研究分析发现： 1）政府、金融、军工仍是高级威胁的重点关注目标，攻击事件占比分别达到 30.3%、12.6%、10.4%。而受全球疫情影响，医疗行业成为高级威胁攻击目标的事件占比上升至第四位。此外，针对数字货币交易所及其相关的攻击活动有一定的热度。 2）经过对全球高级威胁攻击事件中所用到的 IP 资产进行了统计，我们观察到攻击资产来源所在地为美国的资产，在总攻击资产来源中的占比遥遥领先，比重达到 29.9%，中国境内（包含中国香港、中国台湾）排在第二，占比9.2%，荷兰、德国、俄罗斯、法国、新加坡、加拿大、韩国、英国分别排在三到十位。 3）在野漏洞利用方面，基于易利用的文档类型攻击的漏洞较去年没有什么新的变化，而与模板注入技术搭配使用的攻击活动呈明显上升趋势。浏览器方面出现了一些 0day 利用事件，且 Internet Explorer、 FireFox、Chrome三大主流浏览器都有涉及。 4）除了传统的鱼叉式网络攻击、水坑式网络攻击等基础攻击外，以物联网入口的攻击、基于软件供应链替换非可信源的攻击、针对隔离网络的定制化攻击也是关注焦点。同时 Linux、MacOS、移动端等多平台也时有攻击事件的发生和披露。安恒威胁情报中心基于黑客攻击手法、受攻击目标行业划分、攻击惯用漏洞等角度综合分析，给出了我们对 2021 年高级威胁的态势预测。软件供应链的各个环节、数据源的完整性和可信性仍将是攻击行动的重点突破口，此外专门针对隔离网络的攻击将不断加强；而浏览器类漏洞会持续活跃，尤其要重点关注的是利用 Chrome 漏洞的攻击行动；国产化进程下国产软件漏洞攻击利用事件将呈上行趋势；政府、军工、金融等行业仍将是重点攻击目标，疫情原因医疗行业将持续增加关注度；数字货币行业攻击事件将持续发生并被披露； “APT即服务”新模式可能形成体系等。目录前言 2020年高级威胁态势概况地域组织攻击活动情况南亚东南亚东亚中东东欧未归属组织攻击活动情况黑灰产攻击概况在野漏洞利用趋势攻击手法应用趋势 2021年攻击态势预测防御建议总结附录威胁情报中心介绍猎影实验室介绍 01 03 07 08 16 18 24 26 31 39 44 47 50 53 54 55 55 56 前言 - 01 - 2020年度高级威胁态势研究报告 - 02 - 疫情期间白象、蔓灵花、海莲花、毒云藤纷纷采取行动，国内敏感部门和单位等受影响。在4月份的某VPN事件中， Darkhotel、WellMess（有相关资料认为是APT29组织）浮现暗影，我国政府机构、街道、工会、委员会等皆被攻击。今年6、7月份，中印边境冲突时期，白象、响尾蛇十分躁动，对我国政府部门、高校等展开了攻击行动。 11月，响尾蛇利用“一带一路”话题针对相关参会人员发起网络攻击，国内政府机构、重点企业和大使馆等受到影响。蔓灵花组织也较为活跃，我国驻外大使馆是其主要目标之一。毒云藤组织长期通过网站钓鱼的形式对国内展开攻击活动，且钓鱼网站形式（包括URL等）存在升级更新现象。已知组织针对国内的APT攻击活动概况 2020 年，我们的关注点集中在南亚、东南亚、东亚、中东、东欧等板块，并对这些板块内较为活跃的组织和攻击事件进行了统计。可以发现，Lazarus、响尾蛇、海莲花等组织行动较为频繁。同时关注到我国周边国家或地区相关组织的动态，其中一些组织的重点攻击目标就包含我国，如印度方向的蔓灵花、响尾蛇、肚脑虫、白象等，蔓灵花全年披露报告共 8 篇、肚脑虫共 9 篇、响尾蛇共 16 篇、白象共 6 篇；越南方向的海莲花组织全年披露报告共 9 篇；中国台湾方向的毒云藤组织全年披露报告共 5 篇；朝鲜半岛方向的 DarkHotel 组织今年共 7 篇报告，另一个位于朝鲜半岛方向的 Lazarus 组织今年至少有24篇相关披露文章。攻击组织活动情况 2020年攻击组织活动情况 2020年高级威胁态势概况其它，32.03% Lazarus，15.69% 响尾蛇，10.46% 肚脑虫，5.88% 海莲花，5.88% 蔓灵花，5.23% DarkHotel，4.58% Kimsuky，4.58% 白象，3.92% APT28，3.27% ProjectM，3.27% 毒云藤，3.27% Oilrig，1.96% 2020年度高级威胁态势研究报告 - 04 - 我们对全年攻击事件中所使用的 IP 资产进行了统计发现，攻击资产主要分布在美洲、欧洲、亚洲地区。而攻击资产来源所在地为美国的资产，在总攻击资产的占比遥遥领先，比重达到29.9%，中国境内（包含中国香港、中国台湾）排在第二，占比9.2%，荷兰、德国、俄罗斯、法国、新加坡、加拿大、韩国、英国分别排在三到十位。全球IP威胁分布情况在投递诱饵使用的漏洞利用方面，CVE-2017-11882、CVE-2017-0199 等仍是常用漏洞，这与近年未出现好用的 Office 文档漏洞有一定关系。恶意宏代码的使用也毫无过时，仍是惯用手法之一。Office 模板注入的使用有上升趋势，该方式对于攻击组织的一个益处是模板链接访问可控，可根据需要选择是否放出内容。白加黑、lnk 等攻击形式也十分活跃。浏览器利用方面也出现了一些 0day 或 Nday 的在野利用情况，在后面章节中将会提到。漏洞利用与诱饵投递方面从攻击目标的所属行业来看，政府、金融、军工依然是主要目标。受新冠病毒 Covid-19 影响，针对医疗卫生相关行业包括疫苗研发机构的相关攻击活动占比有所上升。从国家攻击威胁的相关热词层面看，美国、俄罗斯、中国、韩国、印度、德国、英国排在前列。攻击行业情况威胁攻击国家热词情况 2020年攻击行业情况政府 30.37% 金融 12.59% 军事 10.37% 医疗卫生 5.93% 科研机构 5.19% 航空航天 5.19% 能源 5.19% 外交 4.44% 制造业 4.44% 电信 4.44% 交通运输 2.96% 其他 8.89% 2020年度高级威胁态势研究报告 - 06 - 南亚地区的 APT 组织主要集中在印度和巴基斯坦，尤其是印度，印度相关的 APT 组织包括响尾蛇（SideWinder）、蔓灵花（Bitter）、白象（PatchWork）、肚脑虫（Donot）、孔夫子（Confucius）等，巴基斯坦则以透明部落（Transparent Tribe）组织为主。响尾蛇组织以巴菲协议为诱饵进行攻击活动蔓灵花组织利用恶意CHM文档针对国内研究机构发起攻击 2020.10 响尾蛇组织以波兰与巴基斯坦双边合作和安全政策为主题发起攻击活动2020.09 蔓灵花组织持续对周边国家和地区进行攻击活动透明部落组织携新型USB武器，向政府和军队发起新一轮攻击白象组织以沙特阿拉伯终止对巴基斯坦的贷款和石油供应为主题进行攻击活动透明部落以新冠疫情相关新闻为主题对印度发起攻击 2020.08 响尾蛇组织借麦加朝圣宗教活动事宜，以“2020年麦加朝圣政策计划”为主题，对巴基斯坦展开攻击白象组织以疫情防范指南、网络安全政策等诱饵对周边国家和地区进行攻击活动 2020.07 肚脑虫组织对斯里兰卡等周边国家发起攻击白象组织在中印边境冲突时期，以中印边境争端为诱饵对国内进行攻击中印边境冲突时期，响尾蛇组织对国内高校、敏感部门发起攻击 2020.06 响尾蛇组织使用军方抗击疫情战略、空军大学疫情期间网络在线课程政策等相关的LNK诱饵文件对巴基斯坦等周边国家进行攻击 2020.05 肚脑虫组织持续对周边国家和地区进行攻击活动2020.04 透明部落组织借新冠肺炎对周边国家和地区进行攻击活动2020.03 透明部落组织对印度空军发起特定攻击蔓灵花组织以疫情相关诱饵对国内一些目标进行攻击 2020.02 南亚地域组织攻击活动情况 2020年度高级威胁态势研究报告 - 08 - 响尾蛇 (Sidewinder) 是 2018 年才被披露的网络威胁组织，疑似与印度有关。该组织长期针对中国和巴基斯坦等国家的政府、能源、军事、矿产等领域进行敏感信息窃取和攻击活动。响尾蛇的最早活动可追溯到 2012 年，当时的相关诱饵文档中包含“巴基斯坦政府经济事务部”等关键字，可见是对特定目标的定向攻击。近几年，该组织也开始针对国内特定目标进行攻击，如驻华大使馆和其他政府部门。今年 11 月，我们监测到响尾蛇组织再次利用“一带一路”话题针对相关参会人员发起网络攻击。攻击手法较以往并没有太多改变，只在远控程序上做了函数细化、名称改长等干扰操作。响尾蛇（SideWinder）组织 2019年6月9月左右对我国敏感单位进行的鱼叉式钓鱼邮件攻击，涉及到的部门包括：驻华大使、敏感单位 2020年6月中印边境冲突特殊时期对我国某高校、政府部门及其他相关单位发起攻击 2020 2019 响尾蛇组织针对国内的安全事件此次攻击活动使用了模板注入技术，并使用了双星漏洞之一的“CVE-2020-0674”。最终的释放远控程序沿用了该组织以往的载荷。今年 6 月左右，时值中印边境特殊时期，安恒威胁情报中心监测到响尾蛇针对包括我国某高校、政府部门及其他相关单位在内的机构发起了新一轮网络攻击。右图为响尾蛇针对国内某高校以及政府部门的攻击。地域组织攻击活动情况 2020年度高级威胁态势研究报告 - 10 - 09 - 新版后台具有多个下发模块，从我们掌握的信息来看，蔓灵花新版后台下发的模块在功能上基本没有特别大的变化。作为示例，2020年9月份，我们披露的蔓灵花的攻击行动中使用的下发模块功能如下： “蔓灵花”又名“BITTER”，是一个具有印度背景的APT组织，其长期针对中国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击并窃取敏感资料，具有较强的政治背景，是目前针对境内目标进行攻击的活跃 APT 组织之一。该组织最早在 2016 由美国安全公司 Forcepoint 进行披露，Forcepoint 发现攻击者使用的远程访问工具 (RAT) 变体使用的网络通信头包含“BITTER”，所以将该次攻击命名为“BITTER”。蔓灵花的攻击活动最早可追溯到2013年，并从2016年开始出现了针对我国国内的攻击活动。蔓灵花（Bitter）组织蔓灵花组织比较活跃，自出现伊始从未间断对我国及巴基斯坦的攻击。其诱饵投递形式也比较丰富，如 chm、伪装的可执行文件和文档等。蔓灵花组织的 C2 后台存储了失陷者的相关信息，并具备恶意模块下发、控制等功能。安恒威胁情报中心在 2019年即掌握了上述信息，在国外安全研究者在互联网上披露相关内容后，蔓灵花组织曾对后台进行了漏洞修补，在后续的攻防过程中，我们持续追踪到蔓灵花新版后台的相关信息，示例如下： b2cbcc1beea28ea743f1dd2829460c86 868157228b5bf0faeac5e31aa682e8a5 99dd93a189fd734fb00246a7a37014d3 868157228b5bf0faeac5e31aa682e8a5 6778b6b56f4aebd73f78e4f7da4ac9aa f6b250aff0e2f5b592a6753c4fdb4475 660a678cd7202475cf0d2c48b4b52bab 0650e1bd642f67843d8f8f1a9f61ff10 06b0d64802a48e2b5916fa4882905e05 Sgi.msi Svr.exe Rgdl.exe Dlhost Igfxsrvk.exe Sht.exe Lsap.exe MSAServices.exe MSAServicet.exe 主程序：用于释放执行svr.exe 组件：设置audiodq程序Run注册表自启动下载器：与svr.exe为同一个程序组建：键盘记录器组建：解密字符串执行关机操作远控RAT：功能与MSAServices一致下载器：上传用户数据，根据返回值下载执行后续攻击模块组建：信息收集，将收集到的数据上传到 C2服务器：72.11.134.216 远控RAT：主要功能为上传用户数据并接收C2指令执行样本名称 MD5 功能描述 2016年5月到9月对我国部委、工业集团、电力单位等进行攻击 2016 2017年末对国内某敏感工业企业进行钓鱼攻击 2017 2018年10月对我国军工业、核能、政府等重点单位发起攻击 2018 2019年9月对我国敏感部门进行攻击蔓灵花组织针对国内的安全事件 2019 2019 2019年3月对我国北方工业公司和外交单位发起攻击地域组织攻击活动情况 2020年度高级威胁态势研究报告 - 12 - 11 - 白象一代少量针对国内高等院校的攻击活动 2015年下半年开始，白象二代大量针对国内目标进行攻击，目标以教育、军事、科研领域为主 20122013 2015 2018年春节前后向国内一些重要敏感单位投递鱼叉邮件进行攻击活动 20182020 2020年初新冠疫情期间，以新冠为主题对我国重要部门发起攻击（白象三代） “白象”又名“Patchwork”，“摩诃草”，具有印度背景。该组织最早由 Norman 安全公司于 2013 年曝光，随后相继有其他安全厂商持续追踪并披露该组织的最新活动，但该组织并未因相关攻击行动的曝光而停止对目标的攻击。白象 APT 组织一直以来主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动，其中以窃取敏感信息为主。相关攻击活动最早可以追溯到 2009 年 11 月，至今仍非常活跃。在对中国的攻击中，该组织的目标涉及政府机构和科研教育领域进行攻击，并以科研教育领域为主。今年初疫情期间，白象再次以“卫生部指令”，“武汉旅行信息表”等相关主题针对我国政府机构发起攻击。此次行动中使用了 CnC_Client 远控程序 ( 此远控白象在2019年的攻击活动中就已开始使用)。白象（PatchWork）组织同一时期，白象还发动了另一次针对巴基斯坦的，以“沙特阿拉伯终止对巴基斯坦的贷款和石油供应”为主题的攻击活动。在此次攻击中，在原有手法的基础上，白象还新加入了 CVE-2019-0808 提权模块，这说明该组织的武器库在不断更新。今年 6 月左右，时值中印边境冲突时期，安恒威胁情报中心监测到白象组织又对我国目标展开攻击。此次活动中使用了EPS UAF漏洞 (CVE-2017-0261) 和 Win32k.sys 本地提权漏洞 (CVE-2016-7255)的组合。白象组织针对国内的安全事件地域组织攻击活动情况 2020年度高级威胁态势研究报告 - 14 - 13 - 2020年，东南亚地区的活跃APT主要是具有越南背景的海莲花(OceanLotus)组织。海莲花组织针对柬埔寨政府开展鱼叉式网络钓鱼活动海莲花通过建立多个假网站和Facebook页面进行钓鱼攻击，分发恶意软件 2020.11 海莲花以越南成立95周年、36东盟峰会等为主题进行攻击活动2020.06 海莲花组织通过带有合法数字证书的Android恶意软件进行传播感染活动2020.05 海莲花组织利用疫情话题攻击我国政府机构2020.03 肚脑虫主要针对针对巴基斯坦和克什米尔地区等南亚地区国家进行网络间谍活动。动机主要以窃密为主。该组织具备针对 Windows 与 Android 双平台的攻击能力，其主要使用 yty 和 EHDevel 等恶意软件框架。肚脑虫的攻击活动最早被披露于2016年4月，该组织目前仍持续活跃。安恒威胁情报中心在今年 4 月捕获到一次新的肚脑虫组织的攻击，相关诱饵表现出和以往类似的弹出错误窗口的风格。我们发现肚脑虫会沿用自己之前的武器库，并会适当做一些修改，如捕获的肚脑虫的 Downloader 武器有很多版本变化，说明其在不断迭代。除了 PC 端，肚脑虫在移动端的攻击趋势也在不断提升。移动端攻击模块的功能包括窃取通话记录数据、窃取通讯录数据、窃取短信、捕获键盘输入、窃取外置存储卡文件列表、窃取Account数据、查询WiFi数据、设置通话录音、文件上传、获取当前位置、窃取手机软件安装列表、窃取whatsapp聊天记录等。此外还发现，在针对移动端的攻击活动中，肚脑虫的攻击载荷也在不断演进。肚脑虫（Donot）组织东南亚 2012年开始持续对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开攻击活动 2019年持续对国内政府、海事机构、商务部门、研究机构发起大量攻击 2019 2019年11月持续对国内大型企业发起攻击 2019 2020年疫情期间对我国政府部门发起攻击 2020 海莲花 (OceanLotus) 具有越南背景，是一个高度组织化、专业化的境外国家级黑客组织，其活动迹象最早可追溯到到 2012 年，攻击目标包括中国及及其他东亚国家 ( 地区 ) 的政府单位、海事机构、海域建设部门、科研院所和航运企业等。海莲花（OceanLotus）组织 2012 海莲花组织针对国内的安全事件地域组织攻击活动情况 2020年度高级威胁态势研究报告 - 16 - 15 - 东亚 Lazarus组织对加密货币行业持续发起攻击 Lazarus组织通过韩国供应链分发恶意软件 Kimsuky利用美国大选相关主题进行攻击活动 2020.11 Kimsuky组织攻击俄罗斯航空航天和国防目标2020.10 JPCERT披露Lazarus组织对日本进行攻击活动 Lazarus通过社会工程伪装航空航天公司人员应聘人员，攻击了全球数十家公司组织，攻击目标包括政府，国防，特定领域的员工等毒云藤组织持续对国内展开钓鱼活动 2020.08 Konni冒充国际安全与合作中心（CISAC）发送核问题相关诱饵 Lazarus组织冒充军事设备制造商对韩国军事承包商进行钓鱼邮件攻击国外安全厂商披露出Darkhotel使用的专门针对隔离网络的Ramsay组件 2020.05 Kimsuky通过国民议会选举诱饵针对韩国进行钓鱼攻击2020.04 Kimsuky组织利用疫情话题针对南韩进行双平台攻击活动2020.03 Darkhotel使用“双星”0Day漏洞针对中国发起的APT攻击活动2020.02 Lazarus组织在AppleJeus行动中持续攻击加密货币业务2020.01 东亚方面的 APT 主要集中在朝鲜、韩国以及中国台湾地区，活跃组织包括 DarkHotel、Lazarus、 Kimsuky、Konni、Higaisa和毒云藤等。 2020 年 3 月，安恒威胁情报中心捕获海莲花组织以“新冠疫情”和“H5N1 禽流感”为主题对国内有关部门发起的攻击。其中一个诱饵文档的标题为“冠状病毒实时更新：中国正在追踪来自湖北的旅行者”，内容和新冠疫情相关。另一个诱饵文档标题为“湖南省家禽 H5N1 亚型高致病性禽流感疫情情况”，该文档内部嵌入了模糊化的伪装图片，清晰化后可以发现图片内容是关于“国内某科技公司的开发合同”。这与我们在 2019 年披露的，对国内大型企业进行攻击时使用的伪装文档在手法上相似。此外，海莲花钓鱼邮件通常通过 126，163 等国内知名邮箱进行伪装投递，手法上惯常使用白加黑技术，最终载荷经常为为海莲花常使用的几款木马，如Denis、KerrDown、RemyRAT、CSbeacon等。地域组织攻击活动情况 2020年度高级威胁态势研究报告 - 18 - 17 - 此次攻击的最终载荷程序为Downloader程序，相关细节和之前其他厂商之前披露的基本一致。 Lazarus 组织被认为是来自朝鲜的 APT 组织，攻击目标遍布全球，最早的活动时间可以追溯至 2007 年，其主要目标包括国防、政府、金融、能源等，早期主要以窃取情报为目的，自 2014 年后进行业务扩张，攻击目标拓展到金融机构、虚拟货币交易所等具有较高经济价值的对象。该组织对近几年对金融机构、加密货币交易机构攻击非常频繁，尤其是加密货币业务，由于虚拟货币和加密货币难以追踪的特殊性，使其较传统金融业务更加容易受到攻击，Lazarus 组织更是乐此不疲，大肆敛财。其攻击对象大多为交易所相关从业人员，也涉及数字货币用户，辐射全球，中、日韩等国的数字货币交易机构成重灾区。今年 11 月，我们捕获到一批 Lazarus 组织以加密货币协会公告、区块链项目风险审查为诱饵内容的持续性攻击活动，目标显然瞄准了加密货币行业。样本采用恶意 lnk 文件的形式，运行会访问远程恶意脚本进行后续恶意行为，并会访问远程链接打开伪装内容。另外从“新業務指針（2020 年 11 月）.docx.lnk”样本中出现用户名字符串“desktop-ppppppp”，我们关联到样本“奖金计划（2020 年 8 月 ).docx.lnk”。关联样本为 Lazarus 在 8 月份的攻击文件，除了使用同样的用户名字符串外，两次攻击的TTP也几乎一致。可以看出国内用户也受到影响。拉撒路（Lazarus）组织 “Higaisa（黑格莎）”组织是一个来自朝鲜半岛的专业 APT 组织 , 因为其常用 higaisa 作为加密密码而得名。黑格莎组织的诱饵内容包括新年祝福、元宵祝福、朝鲜国庆祝福 , 以及重要新闻、海外人员联系录等，攻击对象包括与朝鲜相关的外交实体(如驻各地大使馆官员)、政府官员、人权组织、朝鲜海外居民、贸易往来人员等, 受害国家包括中国、朝鲜、日本、尼泊尔、新加坡、俄罗斯、波兰、瑞士等。 2020 年初，安恒威胁情报中心捕获到黑格莎的攻击行动，本次攻击以圣诞为主题，文件名为中文，似是一次针对国内的攻击。该诱饵文档利用了 Word 自启动插件的手法，当受害者再次打开 Word 后，才会执行释放在自启动目录中的可执行文件，这种方法可以逃避一些自动化检测工具的检测。在载荷执行过程中，还使用了国内安全公司软件的组件进行白加黑利用。黑格莎（Higaisa）组织地域组织攻击活动情况 2020年度高级威胁态势研究报告 - 20 - 19 - 毒云藤，又名绿斑、APT-C-01 等，是一个长期针对我国境内国防、政府、科技和教育领域的重要机构实施网络间谍攻击活动的 APT 团伙，最早可以追溯到 2007 年。该组织惯用鱼叉式钓鱼网络攻击，会选取与攻击目标贴合的诱饵内容进行攻击活动，惯用的主题包括通知、会议材料、研究报告等或是采用攻击时间段时事主题。除了附件投递木马外，毒云藤还惯用钓鱼网站进行钓鱼以窃取目标的账户密码，进而获得更多重要信息。毒云藤（APT-C-01）组织疑似对某大型船务公司进行相关攻击 2007 2008 对某大型媒体机构网站和州某机关相关人员发起攻击开始对军工行业展开攻击，并持续对国内各领域展开攻击对某政府网站进行水坑攻击对国内某高校重点实验室进行攻击 2009 对某军工领域协会组织、中国工程院等进行攻击 20152017 针对数家船舶重工企业、港口运营公司等海事行业机构发动攻击 201820182020 2013 对国内某重点科研机构，以及若干科技、海事等领域国家部委、局等进行了集中攻击 2013 采用QQ邮箱中转站文件页面、 126免费邮箱附件下载页面等形式作为钓鱼网页进行持续钓鱼攻击毒云藤组织针对国内的安全事件我们观察到其持续在进行网站钓鱼页攻击。该组织常采用 QQ 邮箱中转站文件页面、126 免费邮箱附件下载页面等形式作为钓鱼网页，模仿为一个正常文档的文件下载站点，实则为钓鱼页面，诱导目标输入账号密码，点击验证或登录后实则将账号密码发送到攻击者服务器上，实现敏感信息窃取。安恒威胁情报中心的监控数据表明，毒云藤组织目前仍持续活跃，从上图中的诱饵主题可以了解到，毒云藤的目标主要为我国境内的科技、军工、政府等重要人员和精英人才。通过sumap全球网络空间超级雷达针对性的搜索相关信息，我们发现了更多拓展信息和历史数据。地域组织攻击活动情况 2020年度高级威胁态势研究报告 - 22 - 21 - 中东中东方面的 APT 组织主要活跃在伊朗、以色列、叙利亚等国家，由于中东地区错综的地缘政治因素和纷繁复杂的能源贸易，攻击活动往往围绕政府单位、能源机构和电力行业等。 StrongPity组织首次针对我国重要机构进行定向攻击活动2020.11 Infy组织使用Foudre后门进行攻击活动 Silent Librarian组织对十多个国家发起攻击，目的是窃取学生的登录凭据，窃取研究和专利数据 MuddyWater组织Quicksand行动攻击以色列 2020.10 Rampant Kitten组织被披露对伊朗侨民和持不同政见者的伊朗实体进行监视行动伊朗Charming Kitten 组织冒充记者通过社交软件等接近目标派发钓鱼链接收集信息，以色列学者和美国政府雇员成其目标 2020.09 中东电信公司遭OilRig组织攻击2020.07 MuddyWater组织使用新的恶意软件框架MementoMori，已发现土耳其、埃及和阿塞拜疆受影响2020.06 伊朗APT组织Chafer攻击中东政府和航空运输业窃取数据 StrongPity组织伪装驱动程序DriverPack进行攻击活动 2020.05 叙利亚SEA APT组织使用71个恶意APP监视周边地区公民2020.04 Fox Kitten间谍计划通过VPN对目标执行侦察与监控，至少包括以色列、美国、澳大利亚等十余国受影响 2020.02 今年10月份，安恒威胁情报中心监测到多个伪装成文档的攻击样本，伪装内容为较为敏感的材料。相关样本伪装为Word图标，文档内容为检察院裁决书相关或“资金洗钱”相关。本次攻击中内嵌的核心远控程序使用了开源的 AsyncRAT 远控，最终的回连域名解析 IP 位于中国台湾地区。综合判断攻击者似来自中国台湾方向。中国台湾地区方向的攻击活动地域组织攻击活动情况 2020年度高级威胁态势研究报告 - 24 - 23 - 东欧由于东欧存在一个军事大国俄罗斯，2020 年东欧方向多个 APT 的组织归因与之相关。乌克兰、爱沙尼亚、格鲁吉亚等也是网络攻击的高发区。此外，在美俄较量过程中，网络战的影子也可窥见一二。卢甘斯克组织针对乌克兰进行定向攻击2020.11 Turla组织使用自定义恶意软件攻击欧洲政府实体美国国土安全部（DHS），网络安全、基础设施安全局（CISA）和联邦调查局（FBI）声称俄罗斯 APT组织Energetic Bear入侵并窃取了美国政府网络的数据 2020.10 APT28持续对北约、中亚、中东目标进行攻击活动英国NCSC、加拿大CSE、美国NSA联合报告声明WellMess系列针对COVID-19进行的攻击活动和APT29有关 2020.07 德国总理默克尔证实自己曾被俄罗斯军事情报机构攻击2020.05 Gamaredon组织使用Covid-19主题的诱饵针对欧洲国家及其他国家发起攻击2020.04 Turla攻陷亚美尼亚知名网站，通过水坑活动分发NetFlash和PyFlash2020.03 魔鼠行动，疑似Hades组织以Covid-19为主题攻击乌克兰 Gamaredon组织加大对乌克兰的攻击力度 2020.02 今年 5 月下旬，安恒威胁情报中心在日常的高级威胁监测过程中，发现多个冒充合法软件攻击活动。根据攻击特征结合威胁情报中心的分析平台关联其他样本，对样本特征、攻击手法、行为动机、使用技术等综合分析，我们发现此次攻击方为 APT 组织 Strong Pity。该团伙主要攻击特征为水坑攻击，如将软件下载网站上的合法安装程序替换成木马程序，或者仿冒官方网站的域名进行木马的分发。相关恶意软件用于定位敏感类型文件，并将文件压缩加密后发送到远程服务器。在此次攻击活动中，攻击者通过将恶意软件伪装成常用驱动更新软件 DriverPack，安装包文件欺骗受害者下载执行，最终窃取受害者敏感类型文件。 StrongPity组织相关样本会释放多个恶意文件并组合执行。 DriverPack-17-Online.exe 65975F0EC8F73437DB3A5374B09A441B winslui32.exe EE0D81AA07BB9AD185D0E72A60AAA7B7 seceditr.exe 1AB967D62F34DE6CB5C07B6F6BEFC8F3 spools32.exe MD5E373D3A1C0626680EE079A2C8B214E3D 合法程序，DriverPack是一款为Windows 平台提供硬件驱动程序的工具恶意组件，文件描述为“Windows Security Health Host”，上传sft文件恶意组件，文件描述为“Windows Security Configuration Editor”，保持持久性恶意组件，获取敏感类型文件后压缩加密为 sft文件。地域组织攻击活动情况 2020年度高级威胁态势研究报告 - 26 - 25 - 该样本使用宏代码，最终释放出C#写的远控载荷。通过多维关联分析，我们认为这次攻击活动的背后组织为 Hades。由于在 C# 远控载荷中发现了有趣的特殊字符串“Trick: TrickyMouse”，可能存在一定的特殊意义，所以我们将这次攻击命名 Operation TrickyMouse，即魔鼠行动。对 Hades 组织的归因，至今没有一个非常明确的定论。根据已有披露的信息，有一种可能认为其来自朝鲜，另一种说法认为其和俄罗斯组织 APT28 有关。该组织最早被披露是在 2017 年 12 月 22 日对韩国平昌冬奥会的攻击使用了命名为“Olympic Destroyer”的恶意软件。后续国外友商又发现了几起Hades的攻击活动。攻击目标包括俄罗斯、乌克兰和其他几个欧洲国家，俄罗斯金融部门、欧洲和乌克兰的生物和化学威胁预防实验室等都是其瞄准的对象。 2020 年 2 月新冠疫情期间，安恒威胁情报中心捕获到一起以“COVID-19”（新型冠状病毒肺炎）为主题的恶意攻击，攻击目标指向乌克兰。这次攻击采用了带有恶意宏代码的伪装文档,标题为 “ COVID-19.doc”（冠状病毒感染 COVID-19.doc），文件内容仿制乌克兰卫生部公共卫生中心。魔鼠行动（Operation TrickyMouse） Hades组织此次行动的最终载荷程序具有如下功能。收集用户名、机器名、网络适配器等信息获取进程信息键盘记录屏幕信息注册表操作解决编码问题 Socks5指令，似使用socks5 Klg指令，似键盘记录功能的启动、停止和更新地域组织攻击活动情况 2020年度高级威胁态势研究报告 - 28 - 27 - 安恒威胁情报中心根据此次“WellMess”的 C2 进行了关联分析，依托微软公开披露的数据，得出此次事件和APT28有所关联。此外，WellMess背后的的攻击组织还针对美国、英国和加拿大等的新冠、疫苗相关的研究上进行攻击活动。 2020 年 7 月，英国 NCSC、加拿大 CSE 和美国 NSA 的联合报告声明，一系列与 COVID-19 相关的攻击活动和APT29有关。 2020 年 4 月 6 日，国内某安全设备厂商发布了一则关于境外非法组织利用 SSL VPN 设备下发恶意文件并发起 APT 攻击活动的说明，披露了境外 APT 组织通过某 VPN 设备漏洞拿到权限后，进一步利用 SSL VPN设备Windows客户端升级模块签名验证机制的缺陷植入后门的APT攻击活动。此次攻击事件包含了多类攻击程序，其中有一类为“WellMess”，是用 go 语言编写的 botlib 程序，在 4 月份的这次事件中，我们观察到样本项目名称为 SangforPromote.exe，从项目名称可以推断是针对该厂商设备做的定制开发。 “WellMess”组件最早在 2018 年被日本 CERT 曝光，当时在日本的一些机构中发现了这类样本。该组件包含多个平台的版本，包括GolangELF、GolangPE和PE。某厂商SSL VPN事件分析&APT28/APT29 地域组织攻击活动情况 - 29 - 2020年度高级威胁态势研究报告 - 30 - 未归属组织攻击活动情况 2020年9月中旬，安恒威胁情报中心监测到了一个来自白俄罗斯的rtf样本，其被命名为 “.rtf”（大致意思为“被告人的相关信息”），相关文件被伪装为刑事案件登记卡，内容中可以看出与最高法院司法部门的相关信息，文档里面的语言属于俄语。这份模板可以在俄罗斯的一个教育网站上下载到。这是一起明显的利用了“白俄罗斯总统大选结束后，爆发大规模抗议游行，大量游行者被捕”事件发起的网络攻击。此次行动中，攻击者使用了之前从未公开漏洞利用代码的 JS 引擎解析漏洞 CVE-2020-0968 进行远程代码执行。多米诺行动（Operation Domino） 2020年度高级威胁态势研究报告 - 32 - LemnisCapital DekryptCapital FasterCapital InnoEnergy Galaxy Digital Circle Capital Deepmind Kraken abiesvc.info lemniscap dekryptcap.digital coinbig.dev fastercapital innoenergy.info galaxydigital.cloud circlecapital.us de