全球高级持续性威胁（APT） 2018年报告 发布机构：奇安信威胁情报中心 2019年1月2日 序 言 Threat Actor（即威胁行为体），在威胁情报中用于描述实施网络攻击威胁的个人、团伙或组织以达到其恶意的动机和意图。 威胁行为体，是为了标记对实施网络威胁攻击的人、团伙或者组织而建立的虚拟实体。通常将攻击者或其实施的攻击行动赋予独有的代号，以便于从广泛的攻击活动中识别、区分归属于该攻击来源相关的并进行持续性的威胁活动跟踪。以攻击者的维度持续跟踪威胁活动，持续完善攻击者画像的拼图，能够更好的完成挖掘威胁攻击背后的动机，追溯攻击真实的来源，研究攻击技术的演变，提供更有效的安全防御策略。 结合2018年全年国内外各个安全研究机构、安全厂商披露的威胁活动，以及近几年来历史披露的高级持续性威胁活动，通常APT组织和网络犯罪组织的威胁尤为关注，其往往能够对行业、企业和机构造成更严重的影响，并且更加难于发现和防御。 APT组织，通常具有国家或情报机构背景，或者专门实施网络间谍活动，其攻击动机主要是长久性的情报刺探、收集和监控，也会实施如牟利和破坏为意图的攻击威胁。APT组织主要攻击的目标包括政府、军队、外交、国防外，也覆盖科研、能源以及国家基础设施性质的行业和产业。 网络犯罪组织主要以牟取经济利益而实施攻击活动，近年来，数个活跃的网络犯罪组织也呈现出明确的组织化特点，并且使用其自身特色的攻击工具和战术技术。网络犯罪组织对于如金融、银行、电子商务、餐饮零售等行业带来了巨大的资金损失和业务安全风险。 本报告是奇安信威胁情报中心基于收集的公开威胁情报和内部产生的威胁情报数据，对2018年全年高级持续性威胁相关研究的总结报告，主要内容分成三个部分： 1） 高级持续性威胁背后的攻击者 结合全年国内外各个安全研究机构、安全厂商披露的高级威胁活动报告内容的统计分析，对2018年高级威胁类攻击态势进行总结。 2） 针对中国境内的APT组织和威胁 基于奇安信威胁情报中心内部对多个针对中国境内的APT组织持续跟踪，包括海莲花、摩诃草、Darkhotel、蓝宝菇、毒云藤等组织都在2018年对中国境内目标机构和人员频繁实施攻击活动，这里对上述组织相关攻击活动进行回顾。 3） APT威胁的现状和挑战 最后总结APT威胁的现状和应对APT威胁所面临的挑战，并对APT威胁的变化趋势进行合理的预测。 主要观点  网络间谍活动变得更加普遍化，这对高级持续性威胁活动的持续跟踪带来一些挑战。我们需要更加明确的区分和识别高级持续性威胁攻击，以及能够明确来源归属的攻击组织。而对于不能明确归属的APT威胁，需要依赖于持续的威胁跟踪和更多的数据证据佐证。  APT威胁的归属问题正在变得更加明显，其原因可能包括攻击者不断变化的攻击武器和使用更加匿名化的控制基础设施，以及引入的false flag或刻意模仿的攻击战术技术，一些成熟而完善的公开渗透工具给攻击者带来了更好的选择。  2018年，奇安信威胁情报中心公开披露了两个新的针对中国境内的APT组织，以及多个针对中国境内频繁的APT威胁活动，可以看到随着我国在国际形势中的日益发展，地缘政治、外交形势等立场下高级持续性威胁将变得更加严峻。  2018年多次曝光的在野0 day攻击的发现，展现了APT攻击者的技术能力储备和提升，威胁的攻击和防御变得更加白热化，APT威胁的防御和响应的时效性变得尤为重要。  威胁攻击者也在发掘一些新的攻击方式，也包括使用了部分“陈旧而古老”的技术特性，绕过或逃避威胁检测机制从而实施攻击，结合目标人员的安全意识弱点往往也能够取得不错的攻击效果。  奇安信威胁情报中心在2018年监测到的高级持续性威胁相关公开报告总共478篇，其中下半年报告披露的频次和数量明显高于上半年。从公开报告的发布渠道统计来看，2018年国内安全厂商加大了对高级威胁攻击事件及相关攻击者的披露频率，其中奇安信来源披露的高级威胁类报告数量处于首位，并且明显超过其他安全厂商。  在对APT威胁攻击的持续跟踪过程中，通常会将明确的 APT 攻击行动或攻击组织进行命名，用于对攻击背后实际的攻击组织映射成一个虚拟的代号，以便更好的区分和识别具体来源的攻击活动。历史披露的明确的APT攻击组织至少有80个。  截至目前，奇安信威胁情报中心明确的针对中国境内实施攻击活动的，并且依旧活跃的 公开APT 组织，包括海莲花，摩诃草，蔓灵花，Darkhotel，Group 123，毒云藤和蓝宝菇，其中毒云藤和蓝宝菇是奇安信威胁情报中心在2018年下半年公开披露并命名的 APT 组织。  APT威胁也不再是APT组织与安全厂商之间独有的“猫和老鼠”的游戏，还作为国家与国家之间博弈以及外交舆论层面的手段。例如美国司法部在2018年就多次公开指控了被认为是他国黑客成员对其本土的网络威胁活动，最为详细的就是指控朝鲜黑客PARK JIN HYOK 历史涉及的攻击活动，而过去影子经纪人曝光的NSA网络武器库资料，维基解密曝光的Vault 7项目以及卡巴斯基披露的Slingshot攻击行动都被认为与美国本土情报机构有关。 关键词：APT、海莲花、毒云藤、蓝宝菇 目 录 第一章 公开披露的全球高级持续性威胁 ....................................................... 1 一、 数量和来源 ......................................................................................... 1 二、 受害目标的行业与地域 ...................................................................... 2 三、 威胁攻击者 ......................................................................................... 4 第二章 高级持续性威胁背后的攻击者 .......................................................... 6 一、 活跃的国家背景组织.......................................................................... 6 二、 值得关注的APT攻击者 ..................................................................... 9 第三章 针对中国境内的APT组织和威胁 .....................................................18 一、 海莲花（APT-C-00）..........................................................................18 二、 毒云藤（APT-C-01）.........................................................................19 三、 蓝宝菇（APT-C-12）.........................................................................20 四、 DARKHOTEL（APT-C-06） ......................................................................22 第四章 APT威胁的现状和挑战 .................................................................23 一、 多样化的攻击投放方式 .....................................................................23 二、 0DAY 漏洞和在野利用攻击 ................................................................26 三、 APT 威胁活动归属面临的挑战 .........................................................27 四、 APT 威胁的演变趋势 .........................................................................28 总 结 ...............................................................................................................29 附录1 奇安信威胁情报中心.........................................................................30 附录 参考链接 ..................................................................................................31 1 第一章 公开披露的全球高级持续性威胁 奇安信威胁情报中心在2018年持续对高级持续性威胁相关的公开报告进行收集，其中包括但不限于以下类型。 APT攻击团伙报告、APT攻击行动报告、疑似APT的定向攻击事件、和APT攻击相关的恶意代码和漏洞分析，以及我们认为需要关注的网络犯罪团伙及其相关活动。 国内外安全厂商、安全研究人员通常会对高级持续性威胁活动涉及的攻击团伙、攻击活动进行命名，并以"Actor / Group / Gang"等对威胁背后的攻击者进行称谓，其中包括了明确的APT组织，明确的网络犯罪团伙，以及暂时不太明确攻击者信息的攻击活动命名。 不同的安全厂商有时候会对同一背景来源的威胁进行不同的别名命名，这取决于其内部在最早跟踪威胁活动时的命名约定，所以往往需要根据威胁攻击的同一来源进行归类。 我们结合上述说明对自身收集渠道收集的公开报告内容进行分析，并从公开披露的信息中公布全球高级持续性威胁的态势情况。 一、 数量和来源 奇安信威胁情报中心在2018年监测到的高级持续性威胁相关公开报告总共478篇，其中下半年报告披露的频次和数量明显高于上半年。 从公开报告的发布渠道统计来看，2018年国内安全厂商加大了对高级威胁攻击事件及相关攻击者的披露频率，其中360公司（包括2019年4月以 2 前的奇安信）来源披露的高级威胁类报告数量处于首位，并且明显超过其他安全厂商。 从不同安全厂商披露的相关攻击者、攻击行动以及其中明确的APT组织数量来看，国内安全厂商也和国外主流安全厂商，如 Palo Alto Networks、卡巴斯基、趋势相差无几。在本报告的第二章中我们将介绍对APT组织定义的看法。 二、 受害目标的行业与地域 从公开披露的高级威胁活动中涉及目标行业情况来看(摘录自公开报告中提到的攻击目标所属行业标签)，政府、外交、军队、国防依然是 APT 攻击者的主要目标，这也与 APT 攻击的主要意图和目的有关，值得注意的是国家的基础性行业也正面临着高级威胁攻击的风险，如能源、电力、工业、医疗等。 而金融行业主要面临一些成熟的网络犯罪团伙的攻击威胁，如MageCart、Cobalt Group等等，其组织化的成员结构和成熟的攻击工具