一、前言

高級(jí)可持續(xù)性攻擊，又稱APT攻擊，通常由國(guó)家背景的相關(guān)攻擊組織進(jìn)行攻擊的活動(dòng)。APT攻擊常用于國(guó)家間的網(wǎng)絡(luò)攻擊行動(dòng)。主要通過(guò)向目標(biāo)計(jì)算機(jī)投放特種木馬（俗稱特馬），實(shí)施竊取國(guó)家機(jī)密信息、重要企業(yè)的商業(yè)信息、破壞網(wǎng)絡(luò)基礎(chǔ)設(shè)施等活動(dòng)，具有強(qiáng)烈的政治、經(jīng)濟(jì)目的。

隨著中國(guó)國(guó)際地位的不斷崛起，各種與中國(guó)有關(guān)的政治、經(jīng)濟(jì)、軍事、科技情報(bào)搜集對(duì)專業(yè)黑客組織有極大的吸引力，使中國(guó)成為全球APT攻擊的主要受害國(guó)之一，針對(duì)中國(guó)境內(nèi)的攻擊活動(dòng)在2018年異常頻繁。多個(gè)境外攻擊組織輪番對(duì)中國(guó)境內(nèi)的政府、軍事、能源、科研、貿(mào)易、金融等機(jī)構(gòu)進(jìn)行了攻擊?；钴S的攻擊組織包括海蓮花、蔓靈花、白象、DarkHotol等。不僅如此，中國(guó)周邊的國(guó)家以及中國(guó)的"一帶一路"國(guó)家，也成為APT組織重點(diǎn)關(guān)注的對(duì)象。

APT組織的高端攻擊技巧對(duì)普通網(wǎng)絡(luò)黑產(chǎn)從業(yè)者起到教科書般的指導(dǎo)示范作用，一些剛出現(xiàn)時(shí)的高端攻擊技巧，一段時(shí)間之后，會(huì)發(fā)現(xiàn)被普通黑產(chǎn)所采用。比如在精心構(gòu)造的魚叉釣魚郵件附件中使用帶漏洞攻擊或宏代碼攻擊的特殊文檔，利用高危漏洞入侵企業(yè)服務(wù)器系統(tǒng)等。針對(duì)企業(yè)的APT攻擊最終會(huì)殃及普通網(wǎng)民，2018年典型的攻擊案例之一是黑客團(tuán)伙對(duì)驅(qū)動(dòng)人生公司的定向攻擊，通過(guò)控制、篡改服務(wù)器配置，利用正常軟件的升級(jí)通道大規(guī)模安裝云控木馬。

騰訊御見(jiàn)威脅情報(bào)中心高級(jí)持續(xù)性威脅（APT）研究小組在長(zhǎng)期對(duì)全球范圍內(nèi)的APT組織進(jìn)行長(zhǎng)期深入的跟蹤和分析，我們根據(jù)我們的研究成果以及各大安全廠商的APT攻擊報(bào)告，完成了該份2018年APT研究報(bào)告。

二、APT全球攻擊概況

為了掌握APT攻擊在全球的活動(dòng)情況，騰訊御見(jiàn)威脅情報(bào)中心的研究團(tuán)隊(duì)針對(duì)全球所有安全團(tuán)隊(duì)的安全研究報(bào)告進(jìn)行研究，并提取了相關(guān)的指標(biāo)進(jìn)行持續(xù)的研究和跟蹤工作。我們發(fā)現(xiàn)，在2018年全年，我們發(fā)現(xiàn)共有35個(gè)安全機(jī)構(gòu)發(fā)布了208篇APT相關(guān)的研究報(bào)告，涉及個(gè)58個(gè)APT組織。當(dāng)然由于安全公司眾多，監(jiān)測(cè)可能有所遺漏，敬請(qǐng)諒解。

經(jīng)過(guò)統(tǒng)計(jì)，相關(guān)攻擊報(bào)告最多的幾個(gè)APT組織如下（只選取報(bào)告中有明確組織信息的）：

針對(duì)被攻擊地區(qū)分布，相關(guān)的安全報(bào)告的統(tǒng)計(jì)如下（之選取報(bào)告中有明確的攻擊組織和對(duì)象）：

由此可以看出，無(wú)論是攻擊組織和攻擊報(bào)告數(shù)量，東亞和東南亞都遙遙領(lǐng)先于世界其他地區(qū)，是專業(yè)APT組織特別關(guān)注的敏感地域。而由于中東局勢(shì)的混亂，針對(duì)中東地區(qū)的APT攻擊和組織也相對(duì)較多。歐洲和北美則保持精英化的狀態(tài)，雖然攻擊組織不多，但是都是實(shí)力雄厚的攻擊組織。

三、針對(duì)中國(guó)境內(nèi)的APT攻擊

隨著中國(guó)在全球化進(jìn)程中影響力的不斷增長(zhǎng)，中國(guó)政府、企業(yè)及民間機(jī)構(gòu)與世界各國(guó)聯(lián)系的不斷增強(qiáng)，中國(guó)已成為跨國(guó)APT組織的重點(diǎn)攻擊目標(biāo)。中國(guó)也是世界上受APT攻擊最嚴(yán)重的國(guó)家的之一。

1、針對(duì)中國(guó)境內(nèi)的APT組織分布

至2018年12月底，騰訊御見(jiàn)威脅情報(bào)中心已監(jiān)測(cè)到2018年針對(duì)中國(guó)境內(nèi)目標(biāo)發(fā)動(dòng)攻擊的境內(nèi)外APT組織至少有7個(gè)，且均處于高度活躍狀態(tài)。下表列出部分攻擊組織的相關(guān)活動(dòng)情況：

2、針對(duì)中國(guó)境內(nèi)的攻擊的行業(yè)和地域分布

根據(jù)騰訊御見(jiàn)威脅情報(bào)中心的統(tǒng)計(jì)顯示（不含港澳臺(tái)地區(qū)）：2018年，中國(guó)大陸受APT攻擊最多的地區(qū)是遼寧、北京和廣東，其次是湖南、四川、云南、江蘇、上海、浙江、福建等地。詳見(jiàn)下圖（不含港澳臺(tái)地區(qū)）。

而從行業(yè)上的分布，政府部門依然是APT組織最為關(guān)注的目標(biāo)，其次能源、通信、航空、軍工、核等基礎(chǔ)設(shè)施也是重要的攻擊目標(biāo)。而近些年來(lái)，金融、貿(mào)易、科研機(jī)構(gòu)、媒體等行業(yè)也逐漸的被一些APT組織列為了攻擊目標(biāo)。

3、針對(duì)中國(guó)境內(nèi)的重點(diǎn)攻擊活動(dòng)盤點(diǎn)

1）海蓮花（OceanLotus、APT32）

海蓮花APT組織是一個(gè)長(zhǎng)期針對(duì)中國(guó)及其他東亞、東南亞國(guó)家（地區(qū)）政府、科研機(jī)構(gòu)、海運(yùn)企業(yè)等領(lǐng)域進(jìn)行攻擊的APT組織。該組織也是針對(duì)中國(guó)境內(nèi)的最活躍的APT組織之一。2018年該組織多次對(duì)中國(guó)境內(nèi)的目標(biāo)進(jìn)行了攻擊，騰訊御見(jiàn)威脅情報(bào)中心也多次發(fā)布了該組織的相關(guān)攻擊動(dòng)向。
海蓮花攻擊組織擅長(zhǎng)使用魚叉攻擊和水坑攻擊，NSA的武器庫(kù)曝光后，同樣還使用了永恒系列漏洞進(jìn)行了攻擊。除此，投遞的攻擊武器也是種類繁多，RAT包括Denis、CobaltStrike、PHOREAL、salgorea等。

白加黑攻擊

白加黑攻擊是海蓮花組織常用的攻擊方式之一，該組織在今年的攻擊活動(dòng)中多次使用了該方式。白加黑組合包括dot1xtray.exe+ rastls.dll、SoftManager.exe+dbghelp.dll等。

腳本攻擊

使用bat生成加密的js：

最終在內(nèi)存中調(diào)用loader類，加載最終的由CobaltStrike生成的beacon.dll木馬：

2）DarkHotel（黑店）

DarkHotel（黑店）是一個(gè)被認(rèn)為來(lái)自韓國(guó)的APT組織（亦有研究團(tuán)隊(duì)認(rèn)為與朝鮮有關(guān)），該組織是近幾年來(lái)最活躍的APT組織之一，主要攻擊目標(biāo)為電子行業(yè)、通信行業(yè)的企業(yè)高管及有關(guān)國(guó)家政要人物，其攻擊范圍遍布中國(guó)、朝鮮、日本、緬甸、俄羅斯等多個(gè)國(guó)家。

該組織技術(shù)實(shí)力深厚，在多次攻擊行動(dòng)中都使用了0day進(jìn)行攻擊，比如今年新曝光的CVE-2018-8174、CVE-2018-8373等。表明該組織實(shí)力雄厚，為達(dá)目標(biāo)，不惜代價(jià)。在2018年，該組織也多次針對(duì)中國(guó)的目標(biāo)進(jìn)行了攻擊活動(dòng)，如針對(duì)中朝貿(mào)易公司的高管、香港某貿(mào)易公司高管等。

該組織的一大特色是喜歡把木馬隱藏在開(kāi)源的代碼中進(jìn)行偽裝，如putty、openssl、zlib等，把少量木馬代碼隱藏在大量的開(kāi)源代碼中，從而實(shí)現(xiàn)躲避檢測(cè)的目的，因此將被稱為“寄生獸”。

注：2018年12月，大量機(jī)構(gòu)（其中不乏國(guó)家要害機(jī)構(gòu)）的內(nèi)部系統(tǒng)因采用的某開(kāi)源代碼設(shè)計(jì)了一個(gè)界面彩蛋而引發(fā)嚴(yán)重風(fēng)波，也證實(shí)許多機(jī)構(gòu)在使用開(kāi)源代碼時(shí)，并未仔細(xì)進(jìn)行代碼審計(jì)，從而有可能在引入的開(kāi)源系統(tǒng)中，混入的有害代碼不被察覺(jué)。

針對(duì)幾次攻擊活動(dòng)，騰訊御見(jiàn)威脅情報(bào)中心也進(jìn)行了披露。

如使用msfte.dll和msTracer.dll，來(lái)進(jìn)行持久性攻擊，并把下發(fā)的shellcode隱藏在圖片文件中：

DarkHotel（黑店）APT組織用于隱藏惡意代碼的圖片之一

DarkHotel（黑店）APT組織用于隱藏惡意代碼的圖片之二

同時(shí)通過(guò)下發(fā)插件的方式，完成相關(guān)的任務(wù)：

3）白象（摩訶草、Patchwork）

白象是一個(gè)來(lái)自于南亞地區(qū)的境外APT組織，組織主要針對(duì)中國(guó)、巴基斯坦等亞洲地區(qū)和國(guó)家的政府機(jī)構(gòu)、科研教育領(lǐng)域進(jìn)行攻擊。部分基礎(chǔ)設(shè)施和代碼和蔓靈花、孔子重合，這幾個(gè)組織間疑似有千絲萬(wàn)縷的關(guān)系。

該組織在2018年同樣多次對(duì)中國(guó)的多個(gè)目標(biāo)進(jìn)行了攻擊活動(dòng)。該組織同樣使用魚叉攻擊，誘餌文檔帶有強(qiáng)烈的政治意味：

白象APT組織使用的誘餌文檔之一

白象APT組織使用的誘餌文檔之二

最終釋放的特馬為開(kāi)源的Quasar RAT：

4）蔓靈花（BITTER）

蔓靈花APT組織是一個(gè)長(zhǎng)期針對(duì)中國(guó)、巴基斯坦等國(guó)家進(jìn)行攻擊活動(dòng)的APT組織，該組織主要針對(duì)政府、軍工業(yè)、電力、核等單位進(jìn)行攻擊，竊取敏感資料，具有強(qiáng)烈的政治背景。

2018年，騰訊御見(jiàn)威脅情報(bào)中心多次捕捉到了該組織針對(duì)中國(guó)境內(nèi)多個(gè)目標(biāo)的攻擊活動(dòng)， 并發(fā)布了分析報(bào)告《蔓靈花（BITTER）APT組織針對(duì)中國(guó)境內(nèi)政府、軍工、核能等敏感機(jī)構(gòu)的最新攻擊活動(dòng)報(bào)告》。

該組織主要使用魚叉釣魚進(jìn)行攻擊，投遞偽裝成word圖標(biāo)的自解壓文件：

運(yùn)行后，除了會(huì)執(zhí)行惡意文件外，還會(huì)打開(kāi)一個(gè)doc文檔，用于迷惑用戶，讓用戶以為打開(kāi)的文件就是一個(gè)doc文檔。誘餌文檔內(nèi)容極盡誘惑力：

最終會(huì)下發(fā)鍵盤記錄、上傳文件、遠(yuǎn)控等插件，完成資料的竊取工作。

同時(shí)經(jīng)過(guò)關(guān)聯(lián)分析，我們還發(fā)現(xiàn)該組織疑似和白象、孔子（confucius）等組織也有千絲萬(wàn)縷的關(guān)系。該組織的圖譜如下：

5）窮奇&藍(lán)寶菇

窮奇和藍(lán)寶菇疑似來(lái)自東亞某地區(qū)的攻擊組織，主要針對(duì)中國(guó)大陸的政府、軍事、核工業(yè)、科研等敏感機(jī)構(gòu)進(jìn)行攻擊活動(dòng)。該兩個(gè)組織之間使用的攻擊武器庫(kù)有部分重疊，以至于很長(zhǎng)一段時(shí)間我們都認(rèn)為是同一個(gè)組織。因此我們猜測(cè)，這兩個(gè)組織為同一攻擊團(tuán)隊(duì)的兩個(gè)小組。

藍(lán)寶菇在2018年多次對(duì)中國(guó)大陸的目標(biāo)進(jìn)行了攻擊，包括上海進(jìn)博會(huì)期間的攻擊。

藍(lán)寶菇APT組織使用的誘餌文檔之一

藍(lán)寶菇APT組織使用的誘餌文檔之二

最終的攻擊武器包括bfnet遠(yuǎn)控、竊取文件的powershell腳本等。

四、APT攻擊技術(shù)

1、攻擊方式

魚叉攻擊

2018年，魚叉攻擊依然是APT攻擊的最主要方式，使用魚叉結(jié)合社工類的方式，投遞帶有惡意文件的附件，誘使被攻擊者打開(kāi)。雖然該方式攻擊成本極低，但是效果卻出人意料的好。這也進(jìn)一步體現(xiàn)了被攻擊目標(biāo)的人員的安全意識(shí)亟需加強(qiáng)。從曝光的APT活動(dòng)來(lái)看，2018年使用魚叉攻擊的APT活動(dòng)比例高達(dá)95%以上。
如DarkHotel（黑店）APT組織針對(duì)中國(guó)某行業(yè)精心設(shè)計(jì)的釣魚郵件：

水坑攻擊

水坑攻擊也是APT組織常用的攻擊手段，2018年，海蓮花、socketplayer等組織均使用過(guò)該攻擊方式。除了插惡意代碼外，攻擊者還會(huì)判斷訪問(wèn)該頁(yè)面的訪問(wèn)者的ip，只有當(dāng)訪問(wèn)者在攻擊目標(biāo)的ip范圍內(nèi)，也會(huì)進(jìn)行下一步的攻擊動(dòng)作，依次來(lái)防止誤傷。

如某次海蓮花攻擊，該攻陷網(wǎng)站的某個(gè)js上插入了一段代碼，用于訪問(wèn)惡意代碼：

遠(yuǎn)程可執(zhí)行漏洞和密碼爆破攻擊

除了魚叉和水坑攻擊，利用遠(yuǎn)程可執(zhí)行漏洞和服務(wù)器口令爆破進(jìn)行攻擊，也成為了一種可選的攻擊方式。如專業(yè)黑客組織針對(duì)驅(qū)動(dòng)人生公司的攻擊，該黑客組織得手后已對(duì)普通網(wǎng)民產(chǎn)生極大威脅。

2、攻擊誘餌種類

APT攻擊中，攻擊誘餌種類也是紛繁復(fù)雜，包括如下幾類：

文檔類：主要是office文檔、pdf文檔
腳本類：js腳本、vbs腳本、powershell腳本等
可執(zhí)行文件：一般為經(jīng)過(guò)RLO處理過(guò)的可執(zhí)行文件、自解壓包
lnk：帶漏洞的（如震網(wǎng)漏洞）和執(zhí)行powershell、cmd等命令的快捷方式
網(wǎng)頁(yè)類：html、hta等

其中，以office文檔類誘餌為最多，占80%以上。而office文檔中，payload的加載方式也包括利用漏洞（0day和Nday）、宏、DDE、內(nèi)嵌OLE對(duì)象等

宏：在APT攻擊中，使用宏來(lái)進(jìn)行攻擊的誘餌，占所有攻擊的誘餌的50%左右

注意工具欄下的宏安全警告

漏洞：構(gòu)造的惡意誘餌中，使用漏洞占比也有40%左右

在office漏洞利用中，攻擊者最愛(ài)的依然還是公式編輯器的漏洞。包括CVE-2017-11882、CVE-2018-0802以及比較少見(jiàn)的CVE-2018-0798。此外IE漏洞CVE-2018-8174、CVE-2018-8373，和flash漏洞CVE-2018-4878、CVE-2018-5002、CVE-2018-15982也有APT組織使用，但是并未大規(guī)模使用開(kāi)來(lái)。

DDE：DDE在2018年年初的時(shí)候有過(guò)一段火熱期

包括APT28、Gallmaker等APT組織都使用過(guò)DDE來(lái)進(jìn)行攻擊。

3、APT攻擊的技術(shù)趨勢(shì)

1）Fileless攻擊（無(wú)文件攻擊）越來(lái)越多

隨著各安全廠商對(duì)PE文件的檢測(cè)和防御能力不斷的增強(qiáng)，APT攻擊者越來(lái)越多的開(kāi)始使用無(wú)PE文件落地的攻擊方式進(jìn)行攻擊。其主要特點(diǎn)是沒(méi)有長(zhǎng)期駐留在磁盤的文件、核心payload存放在網(wǎng)絡(luò)或者注冊(cè)表中，啟動(dòng)后通過(guò)系統(tǒng)進(jìn)程拉取payload執(zhí)行。

該方式大大增加了客戶端安全軟件基于文件掃描的防御難度。海蓮花、污水（MuddyWater）、APT29、FIN7等攻擊組織都擅長(zhǎng)使用該方式進(jìn)行攻擊。

如海蓮花組織事先的通過(guò)計(jì)劃任務(wù)執(zhí)行命令，全程無(wú)文件落地：

2）C&C存放在公開(kāi)的社交網(wǎng)站上

通信跟數(shù)據(jù)回傳是APT攻擊鏈中非常重要的環(huán)節(jié)，因此如何使得通信的C&C服務(wù)器被防火墻發(fā)現(xiàn)成為了攻擊者的難題。因此，除了注冊(cè)迷惑性極強(qiáng)的郁悶、使用DGA、隱蔽信道等方式外，攻擊者把目光集中到了公開(kāi)的社交網(wǎng)絡(luò)上，如youtube、github、twitter等上。

如某次針對(duì)英國(guó)和瑞士的攻擊，C&C存放地址：

YouTube：

Twitter：

Wordpress博客：

Google plus：

3）公開(kāi)或者開(kāi)源工具的使用

往往，APT組織都有其自己研發(fā)的特定的攻擊武器庫(kù)，但是隨著安全廠商對(duì)APT組織研究的深入，APT組織開(kāi)始使用一些公開(kāi)或者開(kāi)源的工具來(lái)進(jìn)行攻擊，以此來(lái)增加溯源以及被發(fā)現(xiàn)的難度。

如SYSCON/KONNI，使用開(kāi)源的babyface木馬和無(wú)界面的teamview（著名遠(yuǎn)程控制工具）來(lái)進(jìn)行攻擊：

4）多平臺(tái)攻擊和跨平臺(tái)攻擊

移動(dòng)互聯(lián)網(wǎng)的成熟，使得人們已經(jīng)很少在工作之余使用電腦里，因此使用移動(dòng)端來(lái)進(jìn)行攻擊，也越來(lái)越被APT攻擊組織使用。此外Mac OS的流行，也是的APT攻擊者也開(kāi)始對(duì)Mac OS平臺(tái)進(jìn)行攻擊。

如“人面馬”(APT34)、蔓靈花、Group123、雙尾蝎（APT-C-23）、黃金鼠（APT-C-27）等組織都擅長(zhǎng)使用多平臺(tái)攻擊。此外黃金鼠（APT-C-27）還使用了在APK中打包了PE文件，運(yùn)行后釋放到移動(dòng)端外置存儲(chǔ)設(shè)備中的圖片目錄下，從而實(shí)現(xiàn)跨平臺(tái)的攻擊：

而除了PC端和移動(dòng)端，路由器平臺(tái)的也稱為了APT組織的攻擊對(duì)象，如VPNFilter，已經(jīng)攻擊了10多個(gè)國(guó)家的至少50萬(wàn)臺(tái)的路由器設(shè)備。

五、2018年重要的攻擊活動(dòng)和組織

1、2018年活躍境外APT組織盤點(diǎn)

1）中東

在中東地區(qū)活躍的APT組織包括APT33、APT34（人面馬）、MuddyWater（污水）、黃金鼠等。其中數(shù)MuddyWater（污水）最為活躍。騰訊御見(jiàn)威脅情報(bào)中心也多次曝光過(guò)該組織的攻擊活動(dòng)。

如MuddyWater針對(duì)土耳其安全部門的攻擊活動(dòng)：

該組織的最大特點(diǎn)就是使用了一個(gè)用powershell腳本寫的RAT，并且往往內(nèi)置多個(gè)C&C地址，某次內(nèi)置了500多個(gè)C&C地址。

2）歐洲

針對(duì)歐洲地區(qū)，活躍的APT組織包括APT28、APT29、Fin7、Turla、Gamaredon Group、Gallmaker等，但其中數(shù)APT28最為活躍。APT28是活躍在歐洲地區(qū)乃至全球的最活躍的APT攻擊組織之一，該組織疑似與俄羅斯情報(bào)機(jī)構(gòu)GRU有關(guān)。

在2018年，該組織異常活躍，尤其是進(jìn)入9月份以來(lái)，APT28使用zebrocy特馬對(duì)烏克蘭、白俄羅斯、北約等目標(biāo)頻繁的進(jìn)行了攻擊。不僅攻擊頻繁，其特馬的版本也非常多樣，包括C#、delphi、C++、GO、AutoIt等均被使用過(guò)。而最終的第二階段特馬，除了之前常用的Xagent、Seduploader外，還出現(xiàn)了名為"Cannon"的特馬，而"Cannon"目前也已經(jīng)發(fā)現(xiàn)了delphi和C#兩個(gè)版本。

如針對(duì)白俄羅斯的魚叉攻擊：

3）東亞、東南亞

東亞、東南亞地區(qū)活躍的APT組織眾多，除了海蓮花、白象、蔓靈花、DarkHotel等，還包括Lazarus、Group123（APT37）、SideWinder、Donot Team等組織對(duì)朝鮮、韓國(guó)、巴基斯坦、印度、越南、柬埔寨、馬來(lái)西亞等國(guó)家進(jìn)行攻擊。如Group123，2018年針對(duì)韓國(guó)、日本、越南等國(guó)家進(jìn)行了攻擊活動(dòng)。

4）北美

針對(duì)北美的攻擊，有APT28、APT29、Fin7、Lazarus 等，其中Lazarus APT組織是針對(duì)美國(guó)金融和政府進(jìn)行攻擊的活躍的APT組織。騰訊御見(jiàn)威脅情報(bào)中心也對(duì)相關(guān)活動(dòng)進(jìn)行了披露，如使用Flash漏洞CVE-2018-4878進(jìn)行攻擊活動(dòng)：

除此，2018年6月，美國(guó)司法部還對(duì)lazarus的組織成員進(jìn)行了起訴：

2、2018年新被披露的APT組織

1）響尾蛇（SideWinder）

響尾蛇（SideWinder）APT攻擊組織是一個(gè)疑似來(lái)自印度的攻擊組織，主要針對(duì)巴基斯坦等南亞國(guó)家的軍事目標(biāo)進(jìn)行攻擊。該組織的攻擊活多最早可追溯到2012年，但是該組織最早在2018年5月由騰訊御見(jiàn)威脅情報(bào)中心進(jìn)行了公開(kāi)披露。

某次攻擊活動(dòng)的攻擊流程圖：

最終會(huì)收集相關(guān)計(jì)算機(jī)信息，發(fā)送給C&C服務(wù)器：

2）White Company

該組織針對(duì)巴基斯坦的空軍進(jìn)行了代號(hào)為"沙欣行動(dòng)"的APT攻擊活動(dòng)，該行動(dòng)和組織最早在2018年11月被cylance公司進(jìn)行了披露。

該組織有極強(qiáng)的技術(shù)能力，還有完善的攻擊武器利用平臺(tái)，可以根據(jù)目標(biāo)環(huán)境不同隨時(shí)研發(fā)客制化工具。

該組織所使用的惡意代碼能夠規(guī)避大多數(shù)主流殺毒軟件的檢測(cè)，包括Sophos、ESET、Kaspersky、BitDefender、Avira、Avast、AVG和Quickheal。另外，在這場(chǎng)間諜活動(dòng)中被使用的惡意軟件實(shí)現(xiàn)了至少五種不同的打包技術(shù)，為最終的有效載荷提供了極有效的保護(hù)。

3）WindShift

WindShift組織是一個(gè)針對(duì)中東地區(qū)的政府部門和關(guān)鍵基礎(chǔ)設(shè)施部門的特定工作人員進(jìn)行攻擊的APT組織，該組織可利用自定義URL Scheme來(lái)遠(yuǎn)程感染macOS目標(biāo)。該組織最早在2018年8月的新加坡HITB GSEC會(huì)議上由Dark Matter LLC公司的安全研究員進(jìn)行了披露。

該組織攻擊目標(biāo)均位于所謂的海灣合作委員會(huì)（GCC）地區(qū)，即沙特阿拉伯，科威特，阿聯(lián)酋，卡塔爾，巴林和阿曼。這些目標(biāo)被發(fā)送包含黑客運(yùn)行的網(wǎng)站的鏈接的郵件。一旦目標(biāo)點(diǎn)擊鏈接，且受害者進(jìn)行了交互，則會(huì)下載被稱為 WindTale 和 WindTape 的惡意軟件并進(jìn)行感染。

4）Gallmaker

Gallmaker組織是一個(gè)以政府、軍事、國(guó)防部門及東歐國(guó)家的海外使館為攻擊目標(biāo)的APT組織，該組織至少自2017年12月開(kāi)始運(yùn)營(yíng)，最近一次的活動(dòng)在2018年6月。該組織在在2018年10月由賽門鐵克進(jìn)行了曝光。

該組織最大的特點(diǎn)是使用公開(kāi)的工具進(jìn)行攻擊，因此來(lái)隱藏自己的身份。

如某次攻擊活動(dòng)：

攻擊成功后，他們就會(huì)使用下列公開(kāi)的攻擊工具：

WindowsRoamingToolsTask：用于調(diào)度PowerShell腳本和任務(wù)
Metasploit的“reverse_tcp”：通過(guò)PowerShell來(lái)下載該反向shell
WinZip控制臺(tái)的合法版本：創(chuàng)建一個(gè)任務(wù)來(lái)執(zhí)行命令并與C&C通信，它也可能用于存檔數(shù)據(jù)或者過(guò)濾新
Rex PowerShell庫(kù)：github上開(kāi)源的庫(kù)，該庫(kù)幫助創(chuàng)建和操作PowerShell腳本，以便于Metasploit漏洞一起運(yùn)行

5）Donot Team

Donot Team是針對(duì)巴基斯坦等南亞國(guó)家進(jìn)行攻擊的APT組織，該組織最早在2018年3月由NetScout公司的ASERT團(tuán)隊(duì)進(jìn)行了披露，隨后國(guó)內(nèi)的廠商360也進(jìn)行了披露。

該組織采用魚叉攻擊進(jìn)行攻擊，并且該組織有成熟的惡意代碼框架EHDevel和yty，目前已經(jīng)至少已經(jīng)更新到了4.0版本：

6）Gorgon Group

Gorgon Group是一個(gè)被認(rèn)為來(lái)自巴基斯坦的攻擊組織。該組織在8月份由Palo Alto的Unit42團(tuán)隊(duì)進(jìn)行了披露。和其他組織不同的是，該組織最常見(jiàn)的攻擊是針對(duì)全球的外貿(mào)人士進(jìn)行攻擊，同騰訊御見(jiàn)威脅情報(bào)中心多次披露的"商貿(mào)信"，但是奇怪的是，該組織還發(fā)現(xiàn)針對(duì)英國(guó)、西班牙、俄羅斯、美國(guó)等政府目標(biāo)發(fā)起了攻擊。

針對(duì)撒網(wǎng)式的外貿(mào)目標(biāo)，主要的文件名包括：

SWIFT {日期}.doc

SWIFT COPY.doc

PURCHASE ORDER {隨機(jī)數(shù)}.doc

DHL_RECEIPT {隨機(jī)數(shù)}.doc

SHIPPING RECEIPT {日期}.doc

Payment Detail.doc 等

而所用的武器庫(kù)均為一些商用的RAT，包括：

Azorult

NjRAT

RevengeRAT

LokiBot

RemcosRAT

NanoCoreRAT等

而針對(duì)政府的定向攻擊，主要使用一些政治意味強(qiáng)的文件名，如

Rigging in Pakistan Senate.doc

Raw Sect Vikram report on Pak Army Confidential.doc

Afghan Terrorist group report.doc等

3、2018年使用0day進(jìn)行攻擊的APT組織

1）DarkHotel

DarkHotel在2018年多次使用IE 0day漏洞對(duì)攻擊目標(biāo)進(jìn)行了攻擊。其中CVE-2018-8174，該漏洞由國(guó)內(nèi)的廠商360和國(guó)外的卡巴斯基進(jìn)行了披露，而另一個(gè)漏洞CVE-2018-8373則由趨勢(shì)科技進(jìn)行了披露。

2）Lazarus

Lazarus使用Flash漏洞CVE-2018-4878針對(duì)韓國(guó)的目標(biāo)進(jìn)行了攻擊。該在野0day最早被韓國(guó)CERT進(jìn)行了披露。

3）BlackTech

BlackTech使用office漏洞CVE-2018-0802針對(duì)相關(guān)目標(biāo)進(jìn)行了攻擊，該漏洞是公式編輯器的一個(gè)漏洞，如今已經(jīng)成為攻擊者最愛(ài)使用的office漏洞。該漏洞最早由騰訊御見(jiàn)威脅情報(bào)中心進(jìn)行了披露。

4）HackingTeam

HackingTeam在2018年也多次使用了Flash 0day漏洞對(duì)相關(guān)目標(biāo)進(jìn)行了攻擊。其中CVE-2018-5002由騰訊御見(jiàn)威脅情報(bào)中心和360以及國(guó)外廠商ICEBRG進(jìn)行了披露，另一個(gè)漏洞CVE-2018-15982則由國(guó)內(nèi)的廠商360和國(guó)外的廠商Gigamom進(jìn)行了披露。

如CVE-2018-5002的攻擊過(guò)程：

5）FruityArmor

FruityArmor組織在針對(duì)中東的目標(biāo)的時(shí)候也使用了一個(gè)0day CVE-2018-8453在野漏洞，所幸該漏洞只是提權(quán)漏洞，未像遠(yuǎn)程執(zhí)行漏洞一樣造成大的危害。該在野0day由卡巴斯基進(jìn)行了披露。

6）其他

在2018年，還發(fā)生了一件有意思的是，某個(gè)攻擊者在把攻擊樣本上傳到VT進(jìn)行測(cè)試的時(shí)候，無(wú)意中泄露了兩枚0day。包括pdf漏洞CVE-2018-4990和windows提權(quán)漏洞CVE-2018-8120。該野外0day被ESET進(jìn)行披露。該漏洞還未開(kāi)始進(jìn)行正式的攻擊活動(dòng)，就被捕獲并且修補(bǔ)，實(shí)在是萬(wàn)幸。

六、總結(jié)

雖然和平與安全是當(dāng)今世界的主題，但是當(dāng)前全球競(jìng)爭(zhēng)態(tài)勢(shì)下各類沖突不斷發(fā)生，國(guó)家間的APT攻擊活動(dòng)有愈演愈烈之勢(shì)。此外也有部分APT組織已經(jīng)開(kāi)始以經(jīng)濟(jì)利益針對(duì)不同的目標(biāo)進(jìn)行了攻擊。

雖然隨著國(guó)內(nèi)外各大安全廠商對(duì)APT攻擊活動(dòng)披露的越來(lái)越多，也使得之前各大APT組織的相關(guān)攻擊武器失效，攻擊的成本也越來(lái)越高，但是，只要存在利益，APT攻擊就不會(huì)停止，因此各相關(guān)部門、相關(guān)單位和企業(yè)且不可掉以輕心，必須時(shí)刻以最高的安全意識(shí)，應(yīng)對(duì)各種不同的網(wǎng)絡(luò)風(fēng)險(xiǎn)和攻擊。

另外，由于APT組織高超的攻擊技巧對(duì)普通網(wǎng)絡(luò)黑產(chǎn)起到教科書般的示范作用。剛剛被發(fā)現(xiàn)時(shí)所采用的攻擊技巧一段時(shí)間之后會(huì)被普通黑產(chǎn)所采用，從最初針對(duì)政府機(jī)關(guān)、高精尖企業(yè)、科研機(jī)構(gòu)的攻擊，演變?yōu)獒槍?duì)一般企業(yè)的網(wǎng)絡(luò)攻擊，對(duì)整個(gè)互聯(lián)網(wǎng)的安全體系建設(shè)構(gòu)成新的挑戰(zhàn)。

七、安全建議

1、各大機(jī)關(guān)和企業(yè)，以及個(gè)人用戶，及時(shí)修補(bǔ)系統(tǒng)補(bǔ)丁和重要軟件的補(bǔ)??；

2、提升安全意識(shí)，不要打開(kāi)來(lái)歷不明的郵件的附件；除非文檔來(lái)源可靠，用途明確，否則不要輕易啟用Office的宏代碼。

3、使用殺毒軟件防御可能得病毒木馬攻擊，對(duì)于企業(yè)用戶，推薦使用騰訊御點(diǎn)終端安全管理系統(tǒng)。騰訊御點(diǎn)內(nèi)置全網(wǎng)漏洞修復(fù)和病毒防御功能，可幫助企業(yè)用戶降低病毒木馬入侵風(fēng)險(xiǎn)；

4、使用騰訊御界高級(jí)威脅檢測(cè)系統(tǒng)。御界高級(jí)威脅檢測(cè)系統(tǒng)，是基于騰訊反病毒實(shí)驗(yàn)室的安全能力、依托騰訊在云和端的海量數(shù)據(jù)，研發(fā)出的獨(dú)特威脅情報(bào)和惡意檢測(cè)模型系統(tǒng)。

八、參考鏈接

1、https://www.symantec.com/blogs/threat-intelligence/gallmaker-attack-group

2、https://unit42.paloaltonetworks.com/unit42-gorgon-group-slithering-nation-state-cybercrime/

3、https://www.welivesecurity.com/2018/11/20/oceanlotus-new-watering-hole-attack-southeast-asia/

4、https://gsec.hitb.org/materials/sg2018/D1%20COMMSEC%20-%20In%20the%20Trails%20of%20WINDSHIFT%20APT%20-%20Taha%20Karim.pdf

5、https://gsec.hitb.org/materials/sg2018/D1%20COMMSEC%20-%20In%20the%20Trails%20of%20WINDSHIFT%20APT%20-%20Taha%20Karim.pdf

6、https://www.welivesecurity.com/2018/05/15/tale-two-zero-days/

7、https://blog.trendmicro.com/trendlabs-security-intelligence/new-cve-2018-8373-exploit-spotted/

來(lái)源：騰訊御見(jiàn)