全球高级持续性威胁（APT） 2019年中报告 发布机构：奇安信威胁情报中心 2019年6月26日 1 序 言 奇安信威胁情报中心在2018年曾公开发布了两篇全球高级持续性威胁研究总结报告[参考链接：2 3]，其中总结了高级持续性威胁背后的攻击组织在过去一年中的攻击活动和战术技术特点。 如今，2019年已经过去一半，我们在对历史活跃APT组织近半年的攻击活动情况的持续跟踪过程中，呈现地缘政治特征的国家背景黑客组织作为观察的重点，其实施的网络威胁活动始终穿插在现实的大国政治和军事博弈过程中，网络空间威胁或已成为各国情报机构和军事行动达到其情报获取或破坏目的所依赖的重要手段之一。 本报告主要分成两个部分，第一部分主要总结在APT威胁来源的地域特征下主要活跃的APT组织，以及其在2019年上半年的主要情况；第二部分基于近半年重要的全球高级持续性威胁事件，对整体威胁态势的总结。 2 研究方法 在此报告的开始，我们列举了本研究报告所依赖的资料来源与研究方法，其中主要包括：  内部和外部的情报来源，其中内部的情报来源包括奇安信威胁情报中心旗下红雨滴团队对APT威胁的持续分析跟踪及相关的威胁情报；外部的情报来源包括主要发布APT类情报178个公开数据源，涉及安全厂商、博客、新闻资讯网站、社交网络等。  MITRE组织总结的ATT&CK框架以及威胁组织、攻击工具列表[4]也是对研究APT组织及其战术技术特点的重要基础之一。  其他公开的APT组织及行动资料，包括MISP项目[5]，国外安全研究人员Florian Roth的APT组织和行动表格[6]等等。  APT组织的国家和地域归属判断是综合了外部情报的结果，并不代表奇安信威胁情报中心自身的判定结论。 3 目 录 序 言 ................................................................................................... 1 研究方法 ............................................................................................... 2 第一部分 地缘政治下的APT组织 ..................................................... 4 一、 东亚 ....................................................................................... 6 二、 东南亚 ................................................................................... 9 三、 南亚次大陆 ......................................................................... 11 四、 东欧 ..................................................................................... 13 五、 中东 ..................................................................................... 15 六、 北美 ..................................................................................... 18 第二部分 上半年全球APT威胁态势 ............................................... 20 一、 APT组织采用的供应链攻击 ................................................20 二、 国家公共基础设施或将成为网络战的重点 .........................20 三、 APT组织网络武器库的泄露与扩散 .....................................21 四、 APT组织间的“黑吃黑”游戏 .................................................22 五、 APT狩猎下的中国威胁论 ....................................................22 总 结 ..................................................................................................24 附录1 奇安信威胁情报中心 ...........................................................25 附录2 红雨滴团队（REDDRIP TEAM）...........................................26 附录 参考链接 ....................................................................................27 4 第一部分 地缘政治下的APT组织 自2010年震网事件被发现以来，网络攻击正在被各个国家、情报机构用作达到其政治、外交、军事等目的的重要手段之一。在过去对APT活动的追踪过程中，APT攻击往往伴随着现实世界重大政治、外交活动或军事冲突的发生前夕和过程中，这也与APT攻击发起的动机和时机相符。 奇安信威胁情报中心结合公开情报中对APT组织归属的结论，按地缘特征对全球主要的APT组织和攻击能力进行评估，并对其在2019年最近半年的攻击活动的总结。 地域 主要组织 攻击能力 东亚 Lazarus Group Group 123/ APT37 Kimsuky Darkhotel + + + + + + + 东南亚 海莲花/ APT32 + + 南亚次大陆 摩诃草 蔓灵花/ BITTER 肚脑虫/ Donot Team Confucius + + + + + 东欧 APT28 APT29 Turla GreyEnergy + + + + + + + + + + 中东 MuddyWater APT34/ OilRig Stealth Falcon/ FruityArmor + + + + + 北美 方程式 Longhorn + + + + + + 表：地缘政治下的全球主要APT组织及能力 5 6 一、 东亚 围绕东亚一直是全球APT威胁活动最为活跃的地域之一，最早在2011年曝光的Lazarus Group是历史上少数几个最为活跃的APT组织之一。 Lazarus Group，据公开披露被认为是朝鲜Bureau 121背景下的APT组织，历史曾攻击索尼娱乐，全球多家银行SWIFT系统以及和Wannacry勒索病毒有关。2018年9月，美国DoJ和FBI联合公开指控朝鲜黑客PARK JIN HYOK及Chosun Expo机构与上述攻击事件有关，并指出其背后为朝鲜政府[7]。 我们注意到近年来针对Lazarus活动的披露有所减少，其攻击目标主要为金融和加密货币相关，推测其动机更倾向于获得经济利益。 我们总结了Lazarus组织在近半年的主要攻击活动，如图所示。 7 Lazarus使用的攻击工具如下： 名称 说明 Rising Sun 第二阶段植入物，由Duuzer后门演化的新渗透框架 KEYMARBLE RAT工具，使用伪TLS通信 HOPLIGHT 木马，使用公共SSL证书进行安全通信 ELECTRICFISH 网络代理和隧道工具 除了Lazarus，在近两年来，另外两个朝鲜语系的APT团伙表现出了异常的活跃，分别是Group 123和Kimsuky。近年来，朝鲜半岛的政治局势日益趋向于缓和的局势，朝鲜政府也积极就朝核问题、朝韩双方关系与美国、韩国展开对话，但缓和的政治外交局势下，并不能掩盖东亚区域依然频繁的网络情报活动。 结合两个组织历史攻击活动，我们推测Kimsuky更关注于朝鲜半岛的政治外交问题，并通常结合相关热点事件用于诱饵文档内容；而Group 123则针对更广泛的网络情报获取。 Lazarus Group Group 123 Kimsuky 主要别名 Hidden Cobra APT37 无 活动频度 中 高 高 目标行业 银行、数字货币 国防、政府 外交、投资、贸易 媒体 目标地域 全球范围 中国、韩国 韩国、美国 攻击动机 经济利益为主 情报获取 政治外交倾向 两个组织近半年的主要攻击活动总结如下图[9 10]。 8 Group 123和Kimsuky通常都利用向目标投递鱼叉邮件和诱饵文档，包括Office文档和HWP文档，诱导目标人员触发恶意宏代码或漏洞文档来建立攻击立足点。其也通过渗透韩国网站作为载荷分发和控制回传通道。 Group 123还偏好使用云服务作为其窃取目标主机信息和资料的重要途径，其常用的ROKRAT后门就是基于云服务的实现，利用包括Dropbox，Yandex，pCloud等云服务。 9 二、 东南亚 海莲花组织是东南亚地区最为活跃的APT组织，其首次发现和公开披露是由奇安信威胁情报中心的红雨滴团队。 海莲花组织最初主要以中国政府、科研院所、海事机构等行业领域实施攻击，这也与当时的南海局势有关。但在近年来的攻击活动中，其目标地域延伸至柬埔寨、菲律宾、越南等东南亚其他国家，而其针对中国境内的APT攻击中，也出现了针对境内高校和金融投资机构的攻击活动。 海莲花组织是一个快速变化的APT组织，其擅长与将定制化的公开攻击工具和技术和自定制恶意代码相结合，例如Cobalt Strike和fingerprintjs2是其常用的攻击武器之一。 海莲花组织经过多年的发展，形成了非常成熟的攻击战术技术特征，并擅长于利用多层shellcode和脚本化语言混淆其攻击载荷来逃避终端威胁检测，往往能够达到比较好的攻击效果。 这里我们也总结了海莲花组织的常用TTP以便于更好的跟踪其技术特点的变化。 图 海莲花近半年攻击目标 10 11 三、 南亚次大陆 南亚次大陆是另一个APT组织活动的热点区域，从2013年5月Norman安全公司披露Hangover行动（即摩诃草组织）以来，出现了多个不同命名的APT组织在该地域持续性的活跃，并且延伸出错综复杂的关联性[13]，包括摩诃草、蔓灵花、肚脑虫、Confucius，以及其他命名的攻击活动和攻击工具，包括Sidewinder、Urpage、Bahamut、WindShift。 造成归属问题的主要因素是上述APT活动大多使用非特定的攻击载荷和工具，脚本化和多种语言开发的载荷往往干扰着归属分析判断，包括使用.Net、Delphi、AutoIt、Python等。但从历史攻击活动来看，其也出现了一些共性：  同时具备攻击PC和智能手机平台能力；  巴基斯坦是主要的攻击目标，部分组织也会攻击中国境内；  政府、军事目标是其攻击的主要目标，并且投放的诱饵文档大多也围绕该类热点新闻，如克什米尔问题； 我们结合历史公开报告的披露时间制作了相关APT组织的活跃时间线，推测这些APT组织可能从2015-2016甚至更早出现了分化，并且趋向于形成多个规模不大的小型攻击团伙的趋势。 12 13 四、 东欧 APT28、