RESEARCH REPORT全球高级持续性威胁2021研究报告上半年▪ 攻击概览▪ 2021上半年活跃组织▪ 2021上半年攻击态势总结▪ 关键核心战场态势 cont ents2021上半年攻击概览2021上半年活跃组织 009 南亚015 东亚021 东南亚025 东欧029 中东2021上半年攻击态势总结033 全球疫情严峻形势下针对我国的攻击持续活跃0 3 6 A PT攻击紧跟时事热点038 仿冒目标单位邮箱系统集中钓鱼攻击频发040 2021上半年0day漏洞攻击频发042 勒索攻击A PT化，高 级 威 胁 技术、定 向 攻击手段 层出不穷045 针对安全研究人员的社会工程学定向攻击010203 关键核心战场态势048 政府、科研是重灾区，医疗、媒体威胁凸显049 城市数字化转型下A PT威胁加剧0 51 I CT供应链攻击威胁进一步升级052 针对高等学校的攻击活动实则瞄准了我国国防军工和科技创新体系056/附录0405cont ents part 01 006RESEARCH REPORT2021年上半年，全球高级持续性威胁（A PT）整体形势依然严峻，发现和披露的A PT攻击活动较去年同期大幅增加。上半年全球公开报告数量492篇，其中披 露 的 攻击活 动 涉及A PT组织90个，首 次 披 露 的 组 织17个，无论报告数量还是组织数量都已超去年同期。从全球范围看，A PT攻击活动还是重点关注政治、经济等时事热点。目标主要针对政府、国防军工、科研等行业领域。今年全球疫情仍然肆虐，局部地区疫情形势相比去年甚至更加严峻，围绕“新冠疫情”开展的相关攻击活动继续处于高位。上半年攻击活动中利用的0day漏洞数量已超过去年全年总和，达到历史新高。上半年爆发的针对美国最大燃油管道运营商和爱尔兰卫生服务部门在内的一系列针对关键基础设施的勒索攻击事件，体现出勒索攻击不断A PT化的发展趋势。勒索威胁逐渐上升到事关国家安全的层面，已成为全球网络安全的共同挑战。今年上半年，我国率先进入疫情后全面经济复苏和建设阶段，在此新形势下，境外A PT组织针对我国的攻击持续活跃，较去年同期大幅上升。依托强大的安全能力，360在过去累计发现了46个其他国家背景的A PT组 织，监 测 到3600多次对中国的国家级网络攻击。上半年，360捕获到对中国地区发起攻击涉及的组织12个，其中首次 发现 的 组 织2个：芜 琼 洞 、伪 猎 者 。针 对 中 国 地 区 的A PT攻击事件统计 结果 显 示：境 外A PT组织依然针对我国政府、科研和国防军工等领域重点目标，其中来自于东亚、南亚和东南亚的A PT组织针对我国攻击最为活跃。对向教育领域高等学校的攻击活动进行分析发现，攻击瞄准的目标实则是我国国 防 军 工 和 科 技 创 新 体系，反映 出A PT组织通过对关键行业横向领域的攻击和渗透，从而进一步实现对目标行业的攻击。在南亚、东南亚地区疫情反弹期间，针对医疗卫生、媒体行业的攻击凸显。另外，针对城市区域性的攻击威胁持续不断，加以万物互联下，智慧城市的攻击面不断扩大，城市数字化转型下A PT威胁加剧。I CT供应链攻击威胁进一步升级，针对中介招标代理机构的攻击愈发频繁。今年是“十四五”开局之年，我国将开启全面建设社会主义现代化国家新征程、向第二个百年奋斗目标进军，随着数字经济进入新的发展阶段，我国网络安全建设面临着新的挑战和不稳定因素。此次疫情加速了全球政治经济格局重塑，未来在后疫情时代，全球经济逐步进入复苏阶段。在地缘政治、治理体系潜在风险等因素的影响下，加之世界经济重心东移趋势日显，势必会导致大国博弈更加激烈。在此新形势下，针对我国的国家级网络攻击，A PT组织的数量和活跃程度以及攻击技战术的复杂度，或将超过以往。国家级的高级威胁防御领域更加需要包含360政企安全在内的广大网络安全企业和从业者同心协力，为国家各项基础设施建设保驾护航，守卫社会主义现代化建设成果，为坚定不移建设制造强国、质量强国、网络强国、数字中国贡献力量。2021上半年攻击概览 part 02 008RESEARCH REPORT2021上半年活跃组织360高级威胁研究分析中心监控发现，2021年上半年全球活跃的A PT组织有90个，其中有17个是首次披露。针对我国攻击活跃的A PT组织有12个，其中新发现暂未被 其他 厂 商披 露 的A PT组织有两个：A PT- C - 5 9（ 芜 琼 洞 ）、A PT- C - 6 0（伪猎者）。毒云藤、蔓灵花和海莲花这三个组织针对我国的攻击活动最为活跃，长期持续攻击我国多个行业领域重点目标。Darkhotel、响尾蛇组织相比去年攻击频次有所减弱，但呈现阶段性集中攻击后快速隐匿现象。另外比如CNC、新组织芜琼洞短期集中攻击特性更为明显，尤其在其关注的热点事件先后活动最为频繁。基于相关攻击频次、被攻击单位数量、受影响设备数量、技战术迭代频次等多个指标，我们对今年针对中国地区发起攻击的A PT组织进行综合评估，得出A PT组织的攻击活跃度排名。排名组织名称涉及行业TO P1A PT- C - 01（毒云藤）政 府、教 育、科 研 等TO P 2A PT- C - 0 8（蔓灵花）教 育、军 工、科 研 等TO P3A PT- C - 0 0（海莲花）I CT供 应 商、政 府、教 育 等TO P4A PT- C - 0 6（Darkhotel）贸易、科 研、媒体 等TO P 5A PT- C - 59（芜琼洞）媒体 、科 研、医 疗 等TO P6A PT- C - 4 8（CNC）教 育、科 研TO P7A PT- C - 5 5（Kimsuky）政府TO P 8A PT- C - 6 0（伪猎者）贸易、政 府TO P 9A PT- C - 24（响尾蛇）政府、医疗、建筑TO P10A PT- C - 47（旺刺）贸易、制 造、建 筑2021年上半年针对中国地区TO P10境外A PT组织 009RESEARCH REPORT1.南亚南亚地区A PT组织常年活跃，针对我国和其他南亚地区国家，主要围绕地缘政治相关。从去年下半年开始南亚A PT组织攻击活动不断活跃，相关上升趋势一直持续至2021年5月初，尤 其今 年 第 一 季 度 相 关攻击较去年大幅增加，主要涉及教育、政府和国防军工多个领域。而从5月之后攻击有所减缓，但陆续出现多起针对我国医疗卫生机构的攻击活动，我们推测近期攻击活动减缓和针对医疗行业更具针对性，可能是由于4月份，南亚地区疫情再次爆发有关。今年上半年蔓灵花组织针对我国的攻击活动最为活跃，相比之下响尾蛇、CNC攻击频次较低但更具针对性。除蔓灵花以外，肚脑虫、透明部落、幼象等其他组织主要针对巴基斯坦、印度等南亚国家。 010RESEARCH REPORT01.APT-C-08（蔓灵花）从去年9月份开始出现的chm文档攻击方式中，蔓灵花会通过chm文件中内嵌的脚本创建计划任务周期性的从远程服务器加载msi文件。通过该方式达成无文件的Downloader,加大安全人员分析难度，提高其攻击流程结构的隐蔽性,此类攻击方式在今年更加主流。除鱼叉邮件附件投递之外，更多还是仿冒目标单位邮箱系统的钓鱼网站攻击，其占比达到7成。去年年底蔓灵花组织积极探索的一种新型供应链攻击，今年已成常态主流。这类攻击目标并不是供应商和最终目标需求方，而是针对起到中介服务的招标代理机构。在锁定重点目标后，蔓灵花组织进一步会不惜采用0day漏洞进行渗透攻击。今年上半年披露的0day漏洞 攻 击 已 有 两 起 ，今 年2月，国内安全厂商安恒信息年初披露了该组织2020年12月的攻击活动中1，使 用了WINDOWS内核提权0day漏 洞（CVE-2021-1732）。另外在广泛使用的仿冒目标邮箱系统的钓鱼攻击中，蔓灵花除了克隆目标邮件系统以外，还会使用某一文档文件作为背景。当登录成功后则跳转至该文档文件的页面，使得钓鱼网站更加难以辨别。图1.蔓灵花-诱饵文档作为背景实例1图2.蔓灵花-诱饵文档作为背景实例2图1图2 011RESEARCH REPORT02.APT-C-48（CNC）2021年4月，我 们 捕 获 到CNC组织针对我国重点单位发起了新一轮的攻击2。该组织上次攻击行动还是在去年年初国内疫情爆发期间，针对我国医疗行业发起集中攻击。值得注意的是，蛰伏许久的CNC组 织 ，在今年6月中旬我国航天时事热点前后，针对我国航空航天领域相关的重点单位突然发起集中攻击。GithubJoint攻击流程诱导下载并执行下载并执行从github下载攻击组件获取服务器信息上传用户信息github B账号github A账号钓鱼网站\仿冒网站flashplayer32pp_xa_acr_install.exedateA577N.exeRATCNC组织今年最新的GithubJoint攻击流程如图所示，整个攻击过程中利用多个github账户来完成样本下发、C&C更新、用户信息记录等功能。另外相关GitHub账号是在4月份投放到实际攻击活动中，但是早在1、2月份已进行多次测试。 012RESEARCH REPORT程序内指令使用语言对应翻译GRAT2原指令功能herunterladen德语downloaddownload上传指定路径文件的数据到服务器hosutomei日语hostnamehostname获取设备计算机名hochladen德语uploadupload下载文件到指定路径sortie法语exitexit退出程序ekranokopija立陶宛文screenshotscreenshot上传屏幕截图chisono意大利语who I amwhoami获取设备用户名fearann爱尔兰语domaindomain获取设备域FQDNelenco意大利语listps遍历获取当前进程信息最终驻留的恶意程序是基于GRAT2开源远控，进行大量修改后的定制化版本。其中CNC小组对部分指令编码进行了修改。使用了多个国家的语言来进行替换，推测CNC组织成员有可能是想在规避GRAT2的指令特征的同时，混淆安全分析人员对CNC组织幕后所属国家的判断。其中两者部分指令对比如下：CNC恶意组件部分指令 013RESEARCH REPORT03.APT-C-35（肚脑虫）肚脑虫组织今年上半年依然主要针对巴基斯坦政府、国防军工的重点目标发起攻击。今年6月我们披露了该组织最新的后门框架3，根据这些后门框架使用的组件名，将其命名为“Jaca“框架。在该框架中通过Downloader与服务器交互下载并调用其他组件。并且由于驻留样本隐蔽性极强，我们发现往往肚脑虫对攻击成功的设备存在较强的控制力。相比往年该组织使用的后门框架，这套框架采用了函数动态导入+函数名加密的方式来隐藏调用的API函数，并对多数使用到的字符串和数据进行加密，暴露的信息更少。而后的框架版本更是在路径和文件名上采用了更加贴合windows系统的命名，在欺骗性上得到极大的提升。2021.6-至今2020.11-2021.52019.12-2020.10YTY框架功能简述igfcServicee.dllJacaPM.dllNumberAlgo.dllBoothelp.exe下载组件并执行winlogup.dllJacaUL.dllCOMEvent.dllabode.exe功能组件相关文件上传winlogss.dllJacaSP.dllScnPoint.dlldspcheck.exe截图工具winlogdfl.dllJacaDFIter.dllDormode.dllvstservice.exe文件搜集winlogkl.dllJacaKL.dllFrameCordi.dllmdriver.exe键 盘、鼠标消息记录winlogbw.dllJacaBD.dllSRCPolicy.dll浏览器敏感信息窃取winlogus.dllJacaUSD.dll移动磁盘文件搜集肚脑虫历年使用的后门框架汇