一、前言

高級可持續性攻擊，又稱(chēng)APT攻擊，通常由國家背景的相關(guān)攻擊組織進(jìn)行攻擊的活動(dòng)。APT攻擊常用于國家間的網(wǎng)絡(luò )攻擊行動(dòng)。主要通過(guò)向目標計算機投放特種木馬（俗稱(chēng)特馬），實(shí)施竊取國家機密信息、重要企業(yè)的商業(yè)信息、破壞網(wǎng)絡(luò )基礎設施等活動(dòng)，具有強烈的政治、經(jīng)濟目的。

隨著(zhù)中國國際地位的不斷崛起，各種與中國有關(guān)的政治、經(jīng)濟、軍事、科技情報搜集對專(zhuān)業(yè)黑客組織有極大的吸引力，使中國成為全球APT攻擊的主要受害國之一，針對中國境內的攻擊活動(dòng)在2018年異常頻繁。多個(gè)境外攻擊組織輪番對中國境內的政府、軍事、能源、科研、貿易、金融等機構進(jìn)行了攻擊?；钴S的攻擊組織包括海蓮花、蔓靈花、白象、DarkHotol等。不僅如此，中國周邊的國家以及中國的"一帶一路"國家，也成為APT組織重點(diǎn)關(guān)注的對象。

APT組織的高端攻擊技巧對普通網(wǎng)絡(luò )黑產(chǎn)從業(yè)者起到教科書(shū)般的指導示范作用，一些剛出現時(shí)的高端攻擊技巧，一段時(shí)間之后，會(huì )發(fā)現被普通黑產(chǎn)所采用。比如在精心構造的魚(yú)叉釣魚(yú)郵件附件中使用帶漏洞攻擊或宏代碼攻擊的特殊文檔，利用高危漏洞入侵企業(yè)服務(wù)器系統等。針對企業(yè)的APT攻擊最終會(huì )殃及普通網(wǎng)民，2018年典型的攻擊案例之一是黑客團伙對驅動(dòng)人生公司的定向攻擊，通過(guò)控制、篡改服務(wù)器配置，利用正常軟件的升級通道大規模安裝云控木馬。

騰訊御見(jiàn)威脅情報中心高級持續性威脅（APT）研究小組在長(cháng)期對全球范圍內的APT組織進(jìn)行長(cháng)期深入的跟蹤和分析，我們根據我們的研究成果以及各大安全廠(chǎng)商的APT攻擊報告，完成了該份2018年APT研究報告。

二、APT全球攻擊概況

為了掌握APT攻擊在全球的活動(dòng)情況，騰訊御見(jiàn)威脅情報中心的研究團隊針對全球所有安全團隊的安全研究報告進(jìn)行研究，并提取了相關(guān)的指標進(jìn)行持續的研究和跟蹤工作。我們發(fā)現，在2018年全年，我們發(fā)現共有35個(gè)安全機構發(fā)布了208篇APT相關(guān)的研究報告，涉及個(gè)58個(gè)APT組織。當然由于安全公司眾多，監測可能有所遺漏，敬請諒解。

經(jīng)過(guò)統計，相關(guān)攻擊報告最多的幾個(gè)APT組織如下（只選取報告中有明確組織信息的）：

針對被攻擊地區分布，相關(guān)的安全報告的統計如下（之選取報告中有明確的攻擊組織和對象）：

由此可以看出，無(wú)論是攻擊組織和攻擊報告數量，東亞和東南亞都遙遙領(lǐng)先于世界其他地區，是專(zhuān)業(yè)APT組織特別關(guān)注的敏感地域。而由于中東局勢的混亂，針對中東地區的APT攻擊和組織也相對較多。歐洲和北美則保持精英化的狀態(tài)，雖然攻擊組織不多，但是都是實(shí)力雄厚的攻擊組織。

三、針對中國境內的APT攻擊

隨著(zhù)中國在全球化進(jìn)程中影響力的不斷增長(cháng)，中國政府、企業(yè)及民間機構與世界各國聯(lián)系的不斷增強，中國已成為跨國APT組織的重點(diǎn)攻擊目標。中國也是世界上受APT攻擊最嚴重的國家的之一。

1、針對中國境內的APT組織分布

至2018年12月底，騰訊御見(jiàn)威脅情報中心已監測到2018年針對中國境內目標發(fā)動(dòng)攻擊的境內外APT組織至少有7個(gè)，且均處于高度活躍狀態(tài)。下表列出部分攻擊組織的相關(guān)活動(dòng)情況：

2、針對中國境內的攻擊的行業(yè)和地域分布

根據騰訊御見(jiàn)威脅情報中心的統計顯示（不含港澳臺地區）：2018年，中國大陸受APT攻擊最多的地區是遼寧、北京和廣東，其次是湖南、四川、云南、江蘇、上海、浙江、福建等地。詳見(jiàn)下圖（不含港澳臺地區）。

而從行業(yè)上的分布，政府部門(mén)依然是APT組織最為關(guān)注的目標，其次能源、通信、航空、軍工、核等基礎設施也是重要的攻擊目標。而近些年來(lái)，金融、貿易、科研機構、媒體等行業(yè)也逐漸的被一些APT組織列為了攻擊目標。

3、針對中國境內的重點(diǎn)攻擊活動(dòng)盤(pán)點(diǎn)

1）海蓮花（OceanLotus、APT32）

海蓮花APT組織是一個(gè)長(cháng)期針對中國及其他東亞、東南亞國家（地區）政府、科研機構、海運企業(yè)等領(lǐng)域進(jìn)行攻擊的APT組織。該組織也是針對中國境內的最活躍的APT組織之一。2018年該組織多次對中國境內的目標進(jìn)行了攻擊，騰訊御見(jiàn)威脅情報中心也多次發(fā)布了該組織的相關(guān)攻擊動(dòng)向。
海蓮花攻擊組織擅長(cháng)使用魚(yú)叉攻擊和水坑攻擊，NSA的武器庫曝光后，同樣還使用了永恒系列漏洞進(jìn)行了攻擊。除此，投遞的攻擊武器也是種類(lèi)繁多，RAT包括Denis、CobaltStrike、PHOREAL、salgorea等。

白加黑攻擊

白加黑攻擊是海蓮花組織常用的攻擊方式之一，該組織在今年的攻擊活動(dòng)中多次使用了該方式。白加黑組合包括dot1xtray.exe+ rastls.dll、SoftManager.exe+dbghelp.dll等。

腳本攻擊

使用bat生成加密的js：

最終在內存中調用loader類(lèi)，加載最終的由CobaltStrike生成的beacon.dll木馬：

2）DarkHotel（黑店）

DarkHotel（黑店）是一個(gè)被認為來(lái)自韓國的APT組織（亦有研究團隊認為與朝鮮有關(guān)），該組織是近幾年來(lái)最活躍的APT組織之一，主要攻擊目標為電子行業(yè)、通信行業(yè)的企業(yè)高管及有關(guān)國家政要人物，其攻擊范圍遍布中國、朝鮮、日本、緬甸、俄羅斯等多個(gè)國家。

該組織技術(shù)實(shí)力深厚，在多次攻擊行動(dòng)中都使用了0day進(jìn)行攻擊，比如今年新曝光的CVE-2018-8174、CVE-2018-8373等。表明該組織實(shí)力雄厚，為達目標，不惜代價(jià)。在2018年，該組織也多次針對中國的目標進(jìn)行了攻擊活動(dòng)，如針對中朝貿易公司的高管、香港某貿易公司高管等。

該組織的一大特色是喜歡把木馬隱藏在開(kāi)源的代碼中進(jìn)行偽裝，如putty、openssl、zlib等，把少量木馬代碼隱藏在大量的開(kāi)源代碼中，從而實(shí)現躲避檢測的目的，因此將被稱(chēng)為“寄生獸”。

注：2018年12月，大量機構（其中不乏國家要害機構）的內部系統因采用的某開(kāi)源代碼設計了一個(gè)界面彩蛋而引發(fā)嚴重風(fēng)波，也證實(shí)許多機構在使用開(kāi)源代碼時(shí)，并未仔細進(jìn)行代碼審計，從而有可能在引入的開(kāi)源系統中，混入的有害代碼不被察覺(jué)。

針對幾次攻擊活動(dòng)，騰訊御見(jiàn)威脅情報中心也進(jìn)行了披露。

如使用msfte.dll和msTracer.dll，來(lái)進(jìn)行持久性攻擊，并把下發(fā)的shellcode隱藏在圖片文件中：

DarkHotel（黑店）APT組織用于隱藏惡意代碼的圖片之一

DarkHotel（黑店）APT組織用于隱藏惡意代碼的圖片之二

同時(shí)通過(guò)下發(fā)插件的方式，完成相關(guān)的任務(wù)：

3）白象（摩訶草、Patchwork）

白象是一個(gè)來(lái)自于南亞地區的境外APT組織，組織主要針對中國、巴基斯坦等亞洲地區和國家的政府機構、科研教育領(lǐng)域進(jìn)行攻擊。部分基礎設施和代碼和蔓靈花、孔子重合，這幾個(gè)組織間疑似有千絲萬(wàn)縷的關(guān)系。

該組織在2018年同樣多次對中國的多個(gè)目標進(jìn)行了攻擊活動(dòng)。該組織同樣使用魚(yú)叉攻擊，誘餌文檔帶有強烈的政治意味：

白象APT組織使用的誘餌文檔之一

白象APT組織使用的誘餌文檔之二

最終釋放的特馬為開(kāi)源的Quasar RAT：

4）蔓靈花（BITTER）

蔓靈花APT組織是一個(gè)長(cháng)期針對中國、巴基斯坦等國家進(jìn)行攻擊活動(dòng)的APT組織，該組織主要針對政府、軍工業(yè)、電力、核等單位進(jìn)行攻擊，竊取敏感資料，具有強烈的政治背景。

2018年，騰訊御見(jiàn)威脅情報中心多次捕捉到了該組織針對中國境內多個(gè)目標的攻擊活動(dòng)， 并發(fā)布了分析報告《蔓靈花（BITTER）APT組織針對中國境內政府、軍工、核能等敏感機構的最新攻擊活動(dòng)報告》。

該組織主要使用魚(yú)叉釣魚(yú)進(jìn)行攻擊，投遞偽裝成word圖標的自解壓文件：

運行后，除了會(huì )執行惡意文件外，還會(huì )打開(kāi)一個(gè)doc文檔，用于迷惑用戶(hù)，讓用戶(hù)以為打開(kāi)的文件就是一個(gè)doc文檔。誘餌文檔內容極盡誘惑力：

最終會(huì )下發(fā)鍵盤(pán)記錄、上傳文件、遠控等插件，完成資料的竊取工作。

同時(shí)經(jīng)過(guò)關(guān)聯(lián)分析，我們還發(fā)現該組織疑似和白象、孔子（confucius）等組織也有千絲萬(wàn)縷的關(guān)系。該組織的圖譜如下：

5）窮奇&藍寶菇

窮奇和藍寶菇疑似來(lái)自東亞某地區的攻擊組織，主要針對中國大陸的政府、軍事、核工業(yè)、科研等敏感機構進(jìn)行攻擊活動(dòng)。該兩個(gè)組織之間使用的攻擊武器庫有部分重疊，以至于很長(cháng)一段時(shí)間我們都認為是同一個(gè)組織。因此我們猜測，這兩個(gè)組織為同一攻擊團隊的兩個(gè)小組。

藍寶菇在2018年多次對中國大陸的目標進(jìn)行了攻擊，包括上海進(jìn)博會(huì )期間的攻擊。

藍寶菇APT組織使用的誘餌文檔之一

藍寶菇APT組織使用的誘餌文檔之二

最終的攻擊武器包括bfnet遠控、竊取文件的powershell腳本等。

四、APT攻擊技術(shù)

1、攻擊方式

魚(yú)叉攻擊

2018年，魚(yú)叉攻擊依然是APT攻擊的最主要方式，使用魚(yú)叉結合社工類(lèi)的方式，投遞帶有惡意文件的附件，誘使被攻擊者打開(kāi)。雖然該方式攻擊成本極低，但是效果卻出人意料的好。這也進(jìn)一步體現了被攻擊目標的人員的安全意識亟需加強。從曝光的APT活動(dòng)來(lái)看，2018年使用魚(yú)叉攻擊的APT活動(dòng)比例高達95%以上。
如DarkHotel（黑店）APT組織針對中國某行業(yè)精心設計的釣魚(yú)郵件：

水坑攻擊

水坑攻擊也是APT組織常用的攻擊手段，2018年，海蓮花、socketplayer等組織均使用過(guò)該攻擊方式。除了插惡意代碼外，攻擊者還會(huì )判斷訪(fǎng)問(wèn)該頁(yè)面的訪(fǎng)問(wèn)者的ip，只有當訪(fǎng)問(wèn)者在攻擊目標的ip范圍內，也會(huì )進(jìn)行下一步的攻擊動(dòng)作，依次來(lái)防止誤傷。

如某次海蓮花攻擊，該攻陷網(wǎng)站的某個(gè)js上插入了一段代碼，用于訪(fǎng)問(wèn)惡意代碼：

遠程可執行漏洞和密碼爆破攻擊

除了魚(yú)叉和水坑攻擊，利用遠程可執行漏洞和服務(wù)器口令爆破進(jìn)行攻擊，也成為了一種可選的攻擊方式。如專(zhuān)業(yè)黑客組織針對驅動(dòng)人生公司的攻擊，該黑客組織得手后已對普通網(wǎng)民產(chǎn)生極大威脅。

2、攻擊誘餌種類(lèi)

APT攻擊中，攻擊誘餌種類(lèi)也是紛繁復雜，包括如下幾類(lèi)：

文檔類(lèi)：主要是office文檔、pdf文檔
腳本類(lèi)：js腳本、vbs腳本、powershell腳本等
可執行文件：一般為經(jīng)過(guò)RLO處理過(guò)的可執行文件、自解壓包
lnk：帶漏洞的（如震網(wǎng)漏洞）和執行powershell、cmd等命令的快捷方式
網(wǎng)頁(yè)類(lèi)：html、hta等

其中，以office文檔類(lèi)誘餌為最多，占80%以上。而office文檔中，payload的加載方式也包括利用漏洞（0day和Nday）、宏、DDE、內嵌OLE對象等

宏：在A(yíng)PT攻擊中，使用宏來(lái)進(jìn)行攻擊的誘餌，占所有攻擊的誘餌的50%左右

注意工具欄下的宏安全警告

漏洞：構造的惡意誘餌中，使用漏洞占比也有40%左右

在office漏洞利用中，攻擊者最?lèi)?ài)的依然還是公式編輯器的漏洞。包括CVE-2017-11882、CVE-2018-0802以及比較少見(jiàn)的CVE-2018-0798。此外IE漏洞CVE-2018-8174、CVE-2018-8373，和flash漏洞CVE-2018-4878、CVE-2018-5002、CVE-2018-15982也有APT組織使用，但是并未大規模使用開(kāi)來(lái)。

DDE：DDE在2018年年初的時(shí)候有過(guò)一段火熱期

包括APT28、Gallmaker等APT組織都使用過(guò)DDE來(lái)進(jìn)行攻擊。

3、APT攻擊的技術(shù)趨勢

1）Fileless攻擊（無(wú)文件攻擊）越來(lái)越多

隨著(zhù)各安全廠(chǎng)商對PE文件的檢測和防御能力不斷的增強，APT攻擊者越來(lái)越多的開(kāi)始使用無(wú)PE文件落地的攻擊方式進(jìn)行攻擊。其主要特點(diǎn)是沒(méi)有長(cháng)期駐留在磁盤(pán)的文件、核心payload存放在網(wǎng)絡(luò )或者注冊表中，啟動(dòng)后通過(guò)系統進(jìn)程拉取payload執行。

該方式大大增加了客戶(hù)端安全軟件基于文件掃描的防御難度。海蓮花、污水（MuddyWater）、APT29、FIN7等攻擊組織都擅長(cháng)使用該方式進(jìn)行攻擊。

如海蓮花組織事先的通過(guò)計劃任務(wù)執行命令，全程無(wú)文件落地：

2）C&C存放在公開(kāi)的社交網(wǎng)站上

通信跟數據回傳是APT攻擊鏈中非常重要的環(huán)節，因此如何使得通信的C&C服務(wù)器被防火墻發(fā)現成為了攻擊者的難題。因此，除了注冊迷惑性極強的郁悶、使用DGA、隱蔽信道等方式外，攻擊者把目光集中到了公開(kāi)的社交網(wǎng)絡(luò )上，如youtube、github、twitter等上。

如某次針對英國和瑞士的攻擊，C&C存放地址：

YouTube：

Twitter：

Wordpress博客：

Google plus：

3）公開(kāi)或者開(kāi)源工具的使用

往往，APT組織都有其自己研發(fā)的特定的攻擊武器庫，但是隨著(zhù)安全廠(chǎng)商對APT組織研究的深入，APT組織開(kāi)始使用一些公開(kāi)或者開(kāi)源的工具來(lái)進(jìn)行攻擊，以此來(lái)增加溯源以及被發(fā)現的難度。

如SYSCON/KONNI，使用開(kāi)源的babyface木馬和無(wú)界面的teamview（著(zhù)名遠程控制工具）來(lái)進(jìn)行攻擊：

4）多平臺攻擊和跨平臺攻擊

移動(dòng)互聯(lián)網(wǎng)的成熟，使得人們已經(jīng)很少在工作之余使用電腦里，因此使用移動(dòng)端來(lái)進(jìn)行攻擊，也越來(lái)越被APT攻擊組織使用。此外Mac OS的流行，也是的APT攻擊者也開(kāi)始對Mac OS平臺進(jìn)行攻擊。

如“人面馬”(APT34)、蔓靈花、Group123、雙尾蝎（APT-C-23）、黃金鼠（APT-C-27）等組織都擅長(cháng)使用多平臺攻擊。此外黃金鼠（APT-C-27）還使用了在A(yíng)PK中打包了PE文件，運行后釋放到移動(dòng)端外置存儲設備中的圖片目錄下，從而實(shí)現跨平臺的攻擊：

而除了PC端和移動(dòng)端，路由器平臺的也稱(chēng)為了APT組織的攻擊對象，如VPNFilter，已經(jīng)攻擊了10多個(gè)國家的至少50萬(wàn)臺的路由器設備。

五、2018年重要的攻擊活動(dòng)和組織

1、2018年活躍境外APT組織盤(pán)點(diǎn)

1）中東

在中東地區活躍的APT組織包括APT33、APT34（人面馬）、MuddyWater（污水）、黃金鼠等。其中數MuddyWater（污水）最為活躍。騰訊御見(jiàn)威脅情報中心也多次曝光過(guò)該組織的攻擊活動(dòng)。

如MuddyWater針對土耳其安全部門(mén)的攻擊活動(dòng)：

該組織的最大特點(diǎn)就是使用了一個(gè)用powershell腳本寫(xiě)的RAT，并且往往內置多個(gè)C&C地址，某次內置了500多個(gè)C&C地址。

2）歐洲

針對歐洲地區，活躍的APT組織包括APT28、APT29、Fin7、Turla、Gamaredon Group、Gallmaker等，但其中數APT28最為活躍。APT28是活躍在歐洲地區乃至全球的最活躍的APT攻擊組織之一，該組織疑似與俄羅斯情報機構GRU有關(guān)。

在2018年，該組織異?；钴S，尤其是進(jìn)入9月份以來(lái)，APT28使用zebrocy特馬對烏克蘭、白俄羅斯、北約等目標頻繁的進(jìn)行了攻擊。不僅攻擊頻繁，其特馬的版本也非常多樣，包括C#、delphi、C++、GO、AutoIt等均被使用過(guò)。而最終的第二階段特馬，除了之前常用的Xagent、Seduploader外，還出現了名為"Cannon"的特馬，而"Cannon"目前也已經(jīng)發(fā)現了delphi和C#兩個(gè)版本。

如針對白俄羅斯的魚(yú)叉攻擊：

3）東亞、東南亞

東亞、東南亞地區活躍的APT組織眾多，除了海蓮花、白象、蔓靈花、DarkHotel等，還包括Lazarus、Group123（APT37）、SideWinder、Donot Team等組織對朝鮮、韓國、巴基斯坦、印度、越南、柬埔寨、馬來(lái)西亞等國家進(jìn)行攻擊。如Group123，2018年針對韓國、日本、越南等國家進(jìn)行了攻擊活動(dòng)。

4）北美

針對北美的攻擊，有APT28、APT29、Fin7、Lazarus 等，其中Lazarus APT組織是針對美國金融和政府進(jìn)行攻擊的活躍的APT組織。騰訊御見(jiàn)威脅情報中心也對相關(guān)活動(dòng)進(jìn)行了披露，如使用Flash漏洞CVE-2018-4878進(jìn)行攻擊活動(dòng)：

除此，2018年6月，美國司法部還對lazarus的組織成員進(jìn)行了起訴：

2、2018年新被披露的APT組織

1）響尾蛇（SideWinder）

響尾蛇（SideWinder）APT攻擊組織是一個(gè)疑似來(lái)自印度的攻擊組織，主要針對巴基斯坦等南亞國家的軍事目標進(jìn)行攻擊。該組織的攻擊活多最早可追溯到2012年，但是該組織最早在2018年5月由騰訊御見(jiàn)威脅情報中心進(jìn)行了公開(kāi)披露。

某次攻擊活動(dòng)的攻擊流程圖：

最終會(huì )收集相關(guān)計算機信息，發(fā)送給C&C服務(wù)器：

2）White Company

該組織針對巴基斯坦的空軍進(jìn)行了代號為"沙欣行動(dòng)"的APT攻擊活動(dòng)，該行動(dòng)和組織最早在2018年11月被cylance公司進(jìn)行了披露。

該組織有極強的技術(shù)能力，還有完善的攻擊武器利用平臺，可以根據目標環(huán)境不同隨時(shí)研發(fā)客制化工具。

該組織所使用的惡意代碼能夠規避大多數主流殺毒軟件的檢測，包括Sophos、ESET、Kaspersky、BitDefender、Avira、Avast、AVG和Quickheal。另外，在這場(chǎng)間諜活動(dòng)中被使用的惡意軟件實(shí)現了至少五種不同的打包技術(shù)，為最終的有效載荷提供了極有效的保護。

3）WindShift

WindShift組織是一個(gè)針對中東地區的政府部門(mén)和關(guān)鍵基礎設施部門(mén)的特定工作人員進(jìn)行攻擊的APT組織，該組織可利用自定義URL Scheme來(lái)遠程感染macOS目標。該組織最早在2018年8月的新加坡HITB GSEC會(huì )議上由Dark Matter LLC公司的安全研究員進(jìn)行了披露。

該組織攻擊目標均位于所謂的海灣合作委員會(huì )（GCC）地區，即沙特阿拉伯，科威特，阿聯(lián)酋，卡塔爾，巴林和阿曼。這些目標被發(fā)送包含黑客運行的網(wǎng)站的鏈接的郵件。一旦目標點(diǎn)擊鏈接，且受害者進(jìn)行了交互，則會(huì )下載被稱(chēng)為 WindTale 和 WindTape 的惡意軟件并進(jìn)行感染。

4）Gallmaker

Gallmaker組織是一個(gè)以政府、軍事、國防部門(mén)及東歐國家的海外使館為攻擊目標的APT組織，該組織至少自2017年12月開(kāi)始運營(yíng)，最近一次的活動(dòng)在2018年6月。該組織在在2018年10月由賽門(mén)鐵克進(jìn)行了曝光。

該組織最大的特點(diǎn)是使用公開(kāi)的工具進(jìn)行攻擊，因此來(lái)隱藏自己的身份。

如某次攻擊活動(dòng)：

攻擊成功后，他們就會(huì )使用下列公開(kāi)的攻擊工具：

WindowsRoamingToolsTask：用于調度PowerShell腳本和任務(wù)
Metasploit的“reverse_tcp”：通過(guò)PowerShell來(lái)下載該反向shell
WinZip控制臺的合法版本：創(chuàng )建一個(gè)任務(wù)來(lái)執行命令并與C&C通信，它也可能用于存檔數據或者過(guò)濾新
Rex PowerShell庫：github上開(kāi)源的庫，該庫幫助創(chuàng )建和操作PowerShell腳本，以便于Metasploit漏洞一起運行

5）Donot Team

Donot Team是針對巴基斯坦等南亞國家進(jìn)行攻擊的APT組織，該組織最早在2018年3月由NetScout公司的ASERT團隊進(jìn)行了披露，隨后國內的廠(chǎng)商360也進(jìn)行了披露。

該組織采用魚(yú)叉攻擊進(jìn)行攻擊，并且該組織有成熟的惡意代碼框架EHDevel和yty，目前已經(jīng)至少已經(jīng)更新到了4.0版本：

6）Gorgon Group

Gorgon Group是一個(gè)被認為來(lái)自巴基斯坦的攻擊組織。該組織在8月份由Palo Alto的Unit42團隊進(jìn)行了披露。和其他組織不同的是，該組織最常見(jiàn)的攻擊是針對全球的外貿人士進(jìn)行攻擊，同騰訊御見(jiàn)威脅情報中心多次披露的"商貿信"，但是奇怪的是，該組織還發(fā)現針對英國、西班牙、俄羅斯、美國等政府目標發(fā)起了攻擊。

針對撒網(wǎng)式的外貿目標，主要的文件名包括：

SWIFT {日期}.doc

SWIFT COPY.doc

PURCHASE ORDER {隨機數}.doc

DHL_RECEIPT {隨機數}.doc

SHIPPING RECEIPT {日期}.doc

Payment Detail.doc 等

而所用的武器庫均為一些商用的RAT，包括：

Azorult

NjRAT

RevengeRAT

LokiBot

RemcosRAT

NanoCoreRAT等

而針對政府的定向攻擊，主要使用一些政治意味強的文件名，如

Rigging in Pakistan Senate.doc

Raw Sect Vikram report on Pak Army Confidential.doc

Afghan Terrorist group report.doc等

3、2018年使用0day進(jìn)行攻擊的APT組織

1）DarkHotel

DarkHotel在2018年多次使用IE 0day漏洞對攻擊目標進(jìn)行了攻擊。其中CVE-2018-8174，該漏洞由國內的廠(chǎng)商360和國外的卡巴斯基進(jìn)行了披露，而另一個(gè)漏洞CVE-2018-8373則由趨勢科技進(jìn)行了披露。

2）Lazarus

Lazarus使用Flash漏洞CVE-2018-4878針對韓國的目標進(jìn)行了攻擊。該在野0day最早被韓國CERT進(jìn)行了披露。

3）BlackTech

BlackTech使用office漏洞CVE-2018-0802針對相關(guān)目標進(jìn)行了攻擊，該漏洞是公式編輯器的一個(gè)漏洞，如今已經(jīng)成為攻擊者最?lèi)?ài)使用的office漏洞。該漏洞最早由騰訊御見(jiàn)威脅情報中心進(jìn)行了披露。

4）HackingTeam

HackingTeam在2018年也多次使用了Flash 0day漏洞對相關(guān)目標進(jìn)行了攻擊。其中CVE-2018-5002由騰訊御見(jiàn)威脅情報中心和360以及國外廠(chǎng)商ICEBRG進(jìn)行了披露，另一個(gè)漏洞CVE-2018-15982則由國內的廠(chǎng)商360和國外的廠(chǎng)商Gigamom進(jìn)行了披露。

如CVE-2018-5002的攻擊過(guò)程：

5）FruityArmor

FruityArmor組織在針對中東的目標的時(shí)候也使用了一個(gè)0day CVE-2018-8453在野漏洞，所幸該漏洞只是提權漏洞，未像遠程執行漏洞一樣造成大的危害。該在野0day由卡巴斯基進(jìn)行了披露。

6）其他

在2018年，還發(fā)生了一件有意思的是，某個(gè)攻擊者在把攻擊樣本上傳到VT進(jìn)行測試的時(shí)候，無(wú)意中泄露了兩枚0day。包括pdf漏洞CVE-2018-4990和windows提權漏洞CVE-2018-8120。該野外0day被ESET進(jìn)行披露。該漏洞還未開(kāi)始進(jìn)行正式的攻擊活動(dòng)，就被捕獲并且修補，實(shí)在是萬(wàn)幸。

六、總結

雖然和平與安全是當今世界的主題，但是當前全球競爭態(tài)勢下各類(lèi)沖突不斷發(fā)生，國家間的APT攻擊活動(dòng)有愈演愈烈之勢。此外也有部分APT組織已經(jīng)開(kāi)始以經(jīng)濟利益針對不同的目標進(jìn)行了攻擊。

雖然隨著(zhù)國內外各大安全廠(chǎng)商對APT攻擊活動(dòng)披露的越來(lái)越多，也使得之前各大APT組織的相關(guān)攻擊武器失效，攻擊的成本也越來(lái)越高，但是，只要存在利益，APT攻擊就不會(huì )停止，因此各相關(guān)部門(mén)、相關(guān)單位和企業(yè)且不可掉以輕心，必須時(shí)刻以最高的安全意識，應對各種不同的網(wǎng)絡(luò )風(fēng)險和攻擊。

另外，由于A(yíng)PT組織高超的攻擊技巧對普通網(wǎng)絡(luò )黑產(chǎn)起到教科書(shū)般的示范作用。剛剛被發(fā)現時(shí)所采用的攻擊技巧一段時(shí)間之后會(huì )被普通黑產(chǎn)所采用，從最初針對政府機關(guān)、高精尖企業(yè)、科研機構的攻擊，演變?yōu)獒槍σ话闫髽I(yè)的網(wǎng)絡(luò )攻擊，對整個(gè)互聯(lián)網(wǎng)的安全體系建設構成新的挑戰。

七、安全建議

1、各大機關(guān)和企業(yè)，以及個(gè)人用戶(hù)，及時(shí)修補系統補丁和重要軟件的補??；

2、提升安全意識，不要打開(kāi)來(lái)歷不明的郵件的附件；除非文檔來(lái)源可靠，用途明確，否則不要輕易啟用Office的宏代碼。

3、使用殺毒軟件防御可能得病毒木馬攻擊，對于企業(yè)用戶(hù)，推薦使用騰訊御點(diǎn)終端安全管理系統。騰訊御點(diǎn)內置全網(wǎng)漏洞修復和病毒防御功能，可幫助企業(yè)用戶(hù)降低病毒木馬入侵風(fēng)險；

4、使用騰訊御界高級威脅檢測系統。御界高級威脅檢測系統，是基于騰訊反病毒實(shí)驗室的安全能力、依托騰訊在云和端的海量數據，研發(fā)出的獨特威脅情報和惡意檢測模型系統。

八、參考鏈接

1、https://www.symantec.com/blogs/threat-intelligence/gallmaker-attack-group

2、https://unit42.paloaltonetworks.com/unit42-gorgon-group-slithering-nation-state-cybercrime/

3、https://www.welivesecurity.com/2018/11/20/oceanlotus-new-watering-hole-attack-southeast-asia/

4、https://gsec.hitb.org/materials/sg2018/D1%20COMMSEC%20-%20In%20the%20Trails%20of%20WINDSHIFT%20APT%20-%20Taha%20Karim.pdf

5、https://gsec.hitb.org/materials/sg2018/D1%20COMMSEC%20-%20In%20the%20Trails%20of%20WINDSHIFT%20APT%20-%20Taha%20Karim.pdf

6、https://www.welivesecurity.com/2018/05/15/tale-two-zero-days/

7、https://blog.trendmicro.com/trendlabs-security-intelligence/new-cve-2018-8373-exploit-spotted/

來(lái)源：騰訊御見(jiàn)