全球高级持续性威胁（APT）2019年报告_攻击

原标题：全球高级持续性威胁（APT）2019年报告

序言

过去的一年，在网络威胁（Cyber Threat）领域度过了颇为不平静的一年。网络威胁和攻击似乎更为广泛的应用于地缘政治和军事冲突之下，其作为除了军事打击之外更为有效的手段。通常，实行军事行动或军事打击，往往受制于国力、财力、军力、国际舆论、政治压力等多方面因素，而实施网络攻击行动则是利用更加隐蔽的方式达成类似的效果。

网络行动（CNO）在美国军事领域被视为信息作战的核心能力之一，其由网络攻击（CNA）、网络防御（CND）和网络利用（CNE）组成。过去我们讨论的更多的APT威胁都属于CNE范畴，其主要的意图在于收集目标系统或网络的情报数据并加以利用。因此，持久化和隐匿性是实施CNE的重要基础。

而CNA的主要目的在于干扰（Disrupt）、拒绝（Deny）、降级（Degrade）、破坏（Destroy）目标的设施、设备、网络甚至数据信息。当下像政务系统、电力能源、医疗、工业制造等具备更高的信息化和智能化，导致一旦出现网络攻击，其不仅仅是面临财产的损失，而且对社会和民生造成极大的影响。由于CNA所造成的影响和现象是明显的，其类似于现代军事行动具备在较短时间范围就能达到行动目标，而实施CNA的基础则在于对潜在目标的了解程度和网络武器的装备化，所以其往往依赖于历史的网络利用活动，或是结合网络利用。像震网事件、乌克兰停电事件、WannaCry爆发都是较为典型的网络攻击的形态。

过去，我们在分析、发现、识别和跟踪网络攻击和利用活动时，不仅关注于攻击的战术技术特点，以及总结和归纳其攻击来源和攻击组织的手法和变化，从而提高对对手的了解程度以及研究APT威胁的趋势。结合过去我们对APT威胁的研究基础，APT威胁正在变得更加复杂化，其不光体现在对手的策略和能力的提升，而且更加注重对自身的操作安全（OPSEC），通过隐藏、伪装、误导、模仿的方式减少留下自身的行为指纹，对APT威胁的归因分析带来挑战。APT组织寻求更高维度的攻击链路，包括对广域网的流量劫持，基础设施劫持，供应链攻击等等，导致对于APT威胁分析依赖于更广维度的数据来源和元数据类型。

我们在每次全球高级持续性威胁的研究总结报告中对近一年内全球APT威胁活动和APT研究成果的分析和总结，并提出我们对APT威胁的变化趋势的看法。也寄希望于对业内的APT研究和防御提供一些基础性思路。

概要

结合2019年全年高级持续性威胁活动情况来看，我们认为近一年来高级威胁活动呈现出如下的趋势。

2019年，奇安信威胁情报中心收录了高级威胁类公开报告总共596篇，其中涉及了136个命名的攻击组织或攻击行动，被认为活跃在东亚半岛范围的3个APT组织被披露的频率最高。政府、防务行业的目标依然是APT威胁的主要目标，而不可忽视的是，能源和通信行业也已经成为APT威胁的重要针对对象。

在此次报告中，我们依然围绕地缘特征总结了6大地区总共22个APT组织在近一年的攻击活动情况以及使用的主要攻击工具。按照地缘特征划分来研究APT威胁活动：一方面是因为按地域划分下其通常拥有较为相似的地缘政治因素，导致APT活动和APT组织的意图和动机具备相似性和可比性；另一方面也是为了在归因困难和攻击TTP出现重叠的情况下，对同一地域范围的威胁活动进行类比分析。

在报告中，我们也从行业视角分析了针对金融、能源和电信行业在2019年面临的高级威胁问题，并且总结了一年来主要的攻击组织和攻击活动。我们也认为未来APT类威胁活动可能会更多的扩展到金融、能源和电信行业，并且更具有针对性。

在文中我们也总结了全年公开披露的在野0day攻击情况，无论从披露的在野漏洞攻击案例还是利用0day漏洞的攻击组织数量都较去年有所增长。在漏洞类型上，未发现公开披露新的文档类0day漏洞案例，而针对PC和移动终端的浏览器的完整漏洞利用链数量大大增加。

我们在此次的报告中也讨论了网络攻击造成的破坏性影响以及疑似网络战相关的活动，我们也认为网络攻击破坏活动相对于军事行动来说，更加具有隐蔽性和溯源难的特点，从而攻击源头可以进行否认。由此可以预见未来网络攻击破坏活动可能更加频繁。

研究方法

在此报告的开始，我们列举了本研究报告所依赖的资料来源与研究方法，其中主要包括：

内部和外部的情报来源，其中内部的情报来源包括奇安信威胁情报中心旗下红雨滴团队对APT威胁的持续分析跟踪及相关的威胁情报[参考链接[1]；外部的情报来源包括主要发布APT类情报200多个公开数据源，涉及安全厂商、博客、新闻资讯网站、社交网络等。

以MITRE ATT&CK框架[2]和NSA/CSS CTF框架[3]为基础，作为对威胁组织攻击战术技术的标准化表达。

基于网络杀伤链模型（Kill-Chain）对攻击步骤的定义，我们结合APT威胁分析中易于观测到的阶段进行简化和合并：筹备阶段、攻击入口和立足阶段、持久化维持和横向移动阶段、命令控制和数据渗出阶段。

基于钻石模型，我们总结对APT威胁组织画像依赖的重要要素：攻击活动、目标（地域目标、行业目标）、能力（恶意程序、工具、漏洞利用程序）、资源（网络基础设施）。

对于APT组织的评判和定义，我们参考了ATT&CK Groups[6]，MISP项目[4]、国外安全研究人员Florian Roth的APT组织和行动表格[5]等等。

APT组织的国家和地域归属判断是综合了外部情报的结果，并不代表奇安信威胁情报中心自身的判定结论。

第一章全球高级持续性威胁趋势

奇安信威胁情报中心在2018年的全球高级威胁总结报告中就基于公开来源APT情报的收集数据对APT威胁趋势进行图表可视化展示。在2019年的总结报告中，我们沿用了相同的方式。本章内容是基于奇安信威胁情报中心对200多个主要发布APT类情报来源渠道的数据收集、统计和分析结果，其中包括但不限于以下类型：

APT攻击团伙报告、APT攻击行动报告、疑似APT的定向攻击事件、和APT攻击相关的恶意代码和漏洞分析，以及我们认为需要关注的网络犯罪团伙及其相关活动。

国内外安全厂商、安全研究人员通常会对高级持续性威胁活动涉及的攻击团伙、攻击活动进行命名，并以”Actor / Group / Gang”等对威胁背后的攻击者进行称谓，其中包括了明确的APT组织，明确的网络犯罪团伙，以及暂时不太明确攻击者信息的攻击活动命名。

不同的安全厂商有时候会对同一背景来源的威胁进行不同的别名命名，这取决于其内部在最早跟踪威胁活动时的命名约定，所以往往需要根据威胁攻击的同一来源进行归类。

我们结合上述说明对自身收集渠道收集的公开报告内容进行分析，并从公开披露的信息中公布2019年全球高级持续性威胁的态势情况。

一、数量和来源

奇安信威胁情报中心在2019年监测到的高级持续性威胁相关公开报告总共596篇。

从公开报告的发布渠道统计来看，韩国安全厂商ESTsecurity发布了最多的高级威胁类报告，不过其披露的主要为针对韩国本土目标的攻击组织和攻击行动。除此以外，像奇安信、Kaspersky、FireEye、PaloAlto Networks和腾讯等依然保持着较高的高级威胁的跟踪、分析和披露，并且跟踪和披露全球范围内的多个APT组织和攻击行动。

二、受害目标的行业与地域

从公开披露的高级威胁活动中涉及目标行业情况来看（摘录自公开报告中提到的攻击目标所属行业标签），政府（包括外交、政党、选举相关）和军事（包括军事、军工、国防相关）依然是 APT 威胁的主要目标，能源（包括石油、天然气、电力、民用核工业等）、通信行业也是APT攻击的重点威胁对象。

由于更加组织化的网络犯罪团伙的活跃活动，导致金融（包括银行、证券、数字货币等）和零售（电子商务、餐饮等）行业所面临的高级威胁现象越发严峻。

高级威胁活动涉及目标的国家和地域分布情况统计如下图（摘录自公开报告中提到的受害目标所属国家或地域），可以看到高级威胁攻击活动几乎覆盖了全球绝大部分国家和区域。

三、活跃的威胁攻击者

进一步对公开报告中高级威胁活动中命名的攻击行动名称、攻击者名称，并对同一背景来源进行归类处理后的统计情况如下，总共涉及136个命名的威胁来源命名，较2018年数量有所增长。

我们也统计了2019年公开披露最多的APT组织，跟2018年相比，疑似来自东北亚某地的Lazarus Group、Kimsuky和Group 123三个APT组织被频繁曝光。

第二章地缘下的APT组织、活动和趋势一、地缘下的活跃APT组织

从2018年中的APT威胁总结报告中，我们就开始从地缘划分的角度来研究APT组织活动，一方面往往由于在同一地域范围的APT组织和APT活动常常出现一些重叠，其可能针对相似的攻击目标或者使用类似的TTP。另一方面，按地域划分下其拥有相似的地缘政治因素，导致APT活动和APT组织的意图和动机具备相似性和可比性，即使是两个完全不同背景的APT组织。

我们在下表中列举了2019年主要活跃的APT组织，全球主要APT组织列表也可以参见附录4。

（一）东亚

LazarusGroup一直被安全厂商作为疑似来自东北亚某国的APT活动归属总称，个别国外安全厂商也将其针对金融、银行行业的攻击归属作为一个子组织来跟踪。从其2019年被披露的攻击活动来看，仍旧针对全球性的金融、银行、数字货币交易、政府、国防实施网络攻击活动。

今年，Lazarus组织被发现攻击了印度的核电厂，结合公开情报其并未进入到OT网络中，虽然不明确其攻击印度以及印度核工业的意图何在，但是我们可以合理推测核电厂的攻击意图并不在于进行网络破坏，其一方面可能希望收集和获得核工业相关的情报，另一方面可能在于测试和演练对于工业领域的入侵活动。

Lazarus组织也被发现其利用定制化TrickBot分发其后门程序的技术手段，这是首次发现该组织开始利用网络犯罪工具列入到其攻击武器库中。虽然不明确该TrickBot Anchor是否通过市场交易的方式获得，但显然的是该组织的TTP（即攻击的战术、技术和过程）正在发生变化。

Lazarus作为最为古老的APT组织之一，其开发和拥有一套完备的攻击工具集，下表列举了Lazarus组织常用的网络武器库。

Group123是2016年曝光的APT组织，其最早活动可以追溯到2012年，该组织主要实施网络间谍活动。该组织拥有较为成熟的针对Windows和Android平台的攻击木马，常被命名为ROKRAT，其偏好于利用云盘作为载荷分发和数据回传的基础设施。值得一提的是，韩国安全厂商披露该组织伪装成Lazarus的假旗[51]。而Kimsuky组织则偏好于利用热点政治外交活动作为其攻击诱饵的主题。

我们在年中报告中也总结了3个组织在目标选择和攻击意图上的不同，即使三个组织可能来源于同一地域范围，熟悉同样的语言。安全厂商也披露Group 123、Kimsuky以及Konni木马家族之间存在联系，但这三者的TTP却存在较大的差异。

Darkhotel是另一个活跃在东亚地区的APT组织，其在2019年被公开曝光的攻击活动较过去来看存在下降趋势，但这并不代表该组织的攻击活动频率下降，其在2019年依然持续着对东亚地区实施APT攻击。

（二）东南亚

海莲花组织在过去常用Denis木马和Cobalt Strike beacon作为其最终的攻击载荷，安全厂商也发现其新的木马下载器实现，并命名为KerrDown。其擅长于攻击载荷的混淆和对抗手段避免下发的木马程序被检测。该组织也具备成熟的针对MacOS系统的攻击工具。

我们在年中的报告中曾总结过海莲花组织常用的攻击技术手段（见下图）。

（三）南亚

从历史的APT活动来看，南亚地区的APT组织互相存在TTP层面的重叠，其大多利用鱼叉邮件和社会工程学实施攻击，并且使用公开的文档型漏洞制作诱饵文档，如CVE-2017-11882。其大多同时具备针对Windows和Android平台的攻击工具，不过有意思的是，其攻击武器库似乎比较杂乱，无论从开发语言还是模块的重用性，大多不具备延续性。

我们总结了南亚APT组织在过去一年的主要攻击活动如下：

（四）东欧

整体来说，2019年东欧几个APT组织的公开披露次数较2018年有减少，我们整理了今年披露的主要攻击活动。

APT28组织是全球最为活跃的APT组织之一，其主要利用鱼叉邮件攻击，在过去主要可以通过XAgent木马与其联系到一起，后续该木马使用频率降低并频繁使用一个通过多种不同语言开发的Zebrocy木马，国外安全厂商还发现该组织使用Nim语言开发其下载器[55]。APT28除了使用自己的专用木马程序外，其还擅长于通过公开和开源工具的组合使用。

APT29组织在今年鲜有公开的披露报告，除了ESET披露了一个针对欧洲外交机构的Ghost 行动[56]，其中MiniDuke推测延续了过去的MiniDuke木马功能，还发现了其他的三个新的木马程序。从过去披露来看，该组织也常用鱼叉邮件和定制的专用木马。

Turla是另一个古老而又富有创新性的APT组织，其在针对Exchange邮件服务器的后门程序中将其伪装成Transport Agent实现持久性。Turla还被发现其通过劫持APT34的控制基础设施用于自身的攻击活动[52-54]。

卡巴在VB2019会议上还披露了疑似与Turla有关的Reducor RAT工具[57]，其通过patch FireFox和Chrome浏览器中的伪随机数生成函数，在目标受害者进行TLS握手阶段，在生成的随机数中添加了对受害者的标识。

Gamaredon group是由Palo Alto Networks最早披露的针对乌克兰的APT组织，据公开资料，乌克兰安全局SBU在过去将该组织与东欧某强国联系到一起[58]。相对于上述三个组织来说，Gamaredon使用的攻击能力似乎较弱，其利用SFX诱饵或者模板注入技术分发和植入自定制的Pteranodon载荷。

（五）中东

APT33，APT34和MuddyWater是被公开认为是中东地区某国背景的三个比较活跃的APT组织，其攻击活动似乎并未因为其武器库和攻击人员资料被泄露而停止。

上述的三个APT组织，其偏好基于鱼叉钓鱼邮件，社工等方式建立攻击立足，其会开发自定义的攻击程序，并多使用脚本类和公开工具。我们从其上半年泄露的网络武器工具来看，其网络武器的构建能力相对较弱。我们在年中的报告中也曾总结过APT34（OilRig）组织泄露的网络武器库。

除此以外，中东还活跃着数个APT组织，其主要攻击目标通常为本国的目标人员或周边地缘的目标人员，以实施持续的网络监控和间谍活动为目的。

（六）北美

自维基解密网站公开曝光某国情报机构下EDG部门开发的网络武器库资料以来，似乎攻击并未因此而停止，国外安全厂商ESET在今年也披露了一份关于Lamberts的报告[59]，其中介绍了攻击活动从2017年3月以来就一直处于活动状态，并且攻击了中欧和中东的少数机构。我们从其报告介绍来看，似乎部分特征也存在于我们分析的攻击工具集中。

结合过去的披露和研究基础来看，北美APT组织的网络武器库从最初构建时就是积木式的，在实际使用时会根据目标和攻击策略进行定制化组装。由于构建整个武器库所需要的资源和人力是巨大的，所以完全抛弃其历史的网络武器库而重新构建的代价也是极高的，也许这也是我们发现其攻击载荷和历史活动中使用的依然存在一些代码功能的重叠的原因。但由于其攻击操作安全（OPSec）做的足够好，导致对攻击载荷的完整捕获极为困难，也导致了在复盘分析和事件还原过程中缺失了很多关键环节。

（七）其他

南美地区也许是另一个容易忽视的APT活跃地区，奇安信威胁情报中心在今年也发现和披露了一个新的APT组织“盲眼鹰”，其从2018年4月起就一直针对哥伦比亚政府机构和大型公司（金融、石油、制造等行业）等重要领域展开了有组织、有计划、针对性的长期不间断攻击。其攻击平台主要为Windows，利用鱼叉邮件和诱饵文档投递最终的Imminent后门程序。

盲眼鹰并不是南美地区唯一发现的APT组织，另一个由卡巴最早发现和命名的APT组织Machete，其最早活动被发现从2010年开始，其主要针对拉美地区国家说西班牙语的人员，而在今年其又被安全厂商发现新的攻击活动并且针对军事相关目标人员，该组织主要使用Python语言开发的后门并编译成可执行文件进行分发。

另外值得一提的是，Regin恶意软件被发现重新活跃[50]。今年6月，路透社披露在2018年10月至11月，Regin新的变种被发现用于攻击俄罗斯的Yandex公司。Regin在过去已被公开认为是由某个知名的政府间情报联盟共同制作的攻击平台，曾被用于攻击比利时电信公司Belgacom。也有安全研究人员也分析推测了Regin可能就是代号DAREDEVIL和WARRIORPRIDE项目的结合[60]。

二、广域网下的APT威胁

从过去的APT威胁研究来看，绝大多数的APT威胁场景依然在受害目标所属的组织机构网络下，APT攻击需要选择合适的攻击入口突破企业网络边界，并且在攻击达成后通过网络基础设施进行命令控制或数据渗出。

APT组织通过构建诱饵文件或是利用失陷网站实施鱼叉邮件和水坑攻击并诱导目标点击触发载荷的执行和恶意网站的访问，从而获得初始的攻击立足。而在过去，部分APT组织和攻击活动利用广域网的网络协议，实施DNS劫持、BGP劫持，以达到对广域网下流量的重定向，劫持和中间人攻击的目的。

在历史斯诺登泄露的文档中，曾披露过某国通过其具备的广域网下部分骨干节点的控制能力而建立的TURBULENCE项目，并用于数据监听和情报收集[67]。其包含TURMOIL项目用于互联网络上的被动信号情报收集，TURBINE是基于自动化和批量化攻击植入的系统实现主动信号情报收集。而后续QUANTUM INSERT项目实现的man on the side攻击技术以及将目标重定向到FOXACID服务器，也是基于TURBULENCE实现的。下图参考自公开文章[67]。

而对于APT组织来说，往往不具备对因特网核心基础设施的控制能力，其只能通过广域网的劫持攻击来达到类似的目的。

我们收集和列举了近两年来针对DNS和BGP劫持的恶意攻击活动。

针对因特网广域网下的DNS劫持、BGP劫持可以让攻击者重定向目标的网络流量到自身的控制基础设施，从而实现数据监听、收集、中间人攻击的目的，并且为广域网提供基础设施服务的ISP、域名服务商、CDN服务商都有可能成为APT威胁的目标。

三、利用供应链攻击实施APT活动

利用供应链的攻击在APT活动中时常有发生，我们在年中的报告中也总结过上半年的APT类供应链攻击活动。

下表整理了2019年的APT类供应链攻击活动。

从过去的供应链攻击来看，其一方面通过攻击软件供应链的各个环节，包括第三方库的引用，开发人员，产品构建阶段，另一方面通过攻击和目标相关的IT供应商、软件供应商、硬件供应商、合作伙伴等。其针对带有签名的合法应用、预装程序植入后门，能够实现更加隐蔽的攻击立足效果。

四、网络军火、0day与APT威胁

0day漏洞一直是作为实施APT攻击的重要利器，无论是影子经纪人黑客组织泄露的NSA武器库中曝光了大量的0day漏洞利用装备，还是维基解密披露的Vault7项目中CIA用于管理的针对Android和iOS的漏洞利用列表文档，都展示了0day漏洞或成熟的漏洞利用链是实施网络攻击利用的关键能力。

我们整理了2019年用于在野攻击活动的漏洞列表（见下表）。相比2018年来说，在野攻击活动中利用的文档型0day漏洞并未发现，针对浏览器的远程代码执行漏洞数量提升，并且配合沙盒逃逸和提权漏洞使用。

但不是所有的APT组织都完全具备0day漏洞的挖掘能力，所以0day漏洞也一直作为网络武器在地下市场买卖交易。例如卡巴斯基在过去发现和披露了某熟悉俄语或乌克兰语的黑客在地下论坛以BuggiCorp的ID贩卖0day漏洞，卡巴以内部代号Volodya进行跟踪。在WizardOpium行动中使用的CVE-2019-1458以及APT28历史使用的CVE-2016-7255都被认为是购买的该黑客开发的0day漏洞。

网络军火商是另一个在0day漏洞和网络武器交易市场的重要角色，像Gamma、Hacking Team、NSO Group都是知名的网络军火商，其开发一套完备的网络监控系统并出售给其客户。

在过去，披露最多的网络军火商的客户大都是活跃在中东地区的APT组织，并且通常具备国家情报机构背景，其通常用于监控人权组织、异见人士、记者、本土的外交人员等等以达到其政权控制的意图。

网络军火商的存在大大降低了部分APT组织实施网络攻击活动所需的能力，而网络武器的制作者和实施攻击活动的真实来源被完全分隔开来，难以通过网络武器本身对实际的攻击组织进行追溯和定位。

五、网络战与CNA

网络战往往可能伴随着国际形势变化，军事冲突，政治外交手段，地缘冲突等因素，其也可能出现和军事行动相结合。如同在序言中所说，网络战成功的基础则是很大依赖于对潜在目标的了解，所以针对潜在目标的网络利用和情报收集往往用来弥补对对手认知的缺失，并且进行针对性的武器化储备。

与现实的军事行动不同的是，由于网络攻击更容易隐匿攻击源头导致行动难以归因，并且双方都不总是公开承认，使得实施网络战造成的国际舆论影响远小于发起一次军事行动，并且达成可能类似的行动效果。

由于真实的网络战活动难以实际观测到，也难以和APT组织本身联系起来，我们仅从公开披露的新闻事件列举出这一年发生的疑似网络战事件列表。

六、移动终端场景的APT威胁

针对智能手机是APT威胁的另一个威胁场景，其主要的目的在于实现监控和窃听，并针对特定的个人或群体。在过去的移动APT活动中，通常通过远程代码执行漏洞、钓鱼消息或者将间谍软件混入应用市场等方式在智能手机中植入后门程序，获取包括短信、通讯录、定位、文件、应用数据、录音和录像的数据。

在手机间谍应用和监控系统的背后，不乏存在不少网络军火商的身影，包括NSO、Hacking Team、Gamma都提供针对Android、iOS的监控系统和木马，并且利用漏洞利用链植入后门程序。在2019年中，老牌的网络军火商依旧持续提供更新版本的间谍服务。例如卡巴斯基发现FinSpy针对Android和iOS的新版本[40]；还有一份公开的Pegasus产品文档也展示了NSO Group提供了极其完备的移动终端监控服务，而Pegasus正是之前NSO利用3个针对iOS的0day漏洞攻击中东某政治人士的植入程序。

新的网络军火商正在开发制作新的间谍木马。在2019年3月安全研究机构也披露了名为Exodus的新的间谍软件平台[41]，并将其与一家欧洲公司eSurv联系到了一起。

针对移动终端的0day漏洞和完整利用链在野攻击的爆发。今年8月，Google Project Zero团队披露了一个针对iOS 10到iOS 12几乎所有版本的在野攻击案例，其使用了5个完整漏洞利用链，总共14个漏洞，其中7个都是针对iPhone的Web浏览器[18]。后续公民实验室也发布了相关事件中针对Android系统的漏洞利用[42]。

APT组织开发移动终端木马程序用于APT活动。APT组织中同时具备移动端攻击武器的包括了Group 123、蔓灵花、肚脑虫、黄金鼠、拍拍熊等等，其通常利用社工、聊天应用、钓鱼等方式诱导目标安装伪装的手机木马程序，以收集目标收集上的信息。

国家情报机构背景的移动终端监控。在历史泄露的某国情报机构资料中，多次提及其针对移动智能终端的攻击利用工具。在今年1月，路透社曝光了一个名为Raven的项目，其是由某国情报机构和中东某国政府共同开发和构建的网络攻击工具，其中的Karma间谍平台用于攻击iPhone设备，其用来监听包括激进分子，政治领导人和恐·怖分子嫌疑犯等[43]。除了直接攻击智能终端本身，还有通过攻击运营商，移动蜂窝网和信令系统，以及移动通信协议来实现数据监听、定位的能力。例如今年在VB2019会议上披露的Simjacker漏洞，其通过攻击SIM卡上的应用缺陷实现，并已经被用于攻击南美地区国家的用户手机，我们也曾对该漏洞的原理和危害进行了分析说明，详情可参见奇安信威胁情报中心公众号发布的《5G降级、设备位置跟踪等漏洞被发现，或可用于网络通信军事打击》[44]。

第三章针对行业性的高级威胁活动

APT威胁是定向性的，其会选择攻击的行业、地域、目标以及要达到的目的，这些是由APT组织在实施行动前制定的需要达到的阶段性目标和动机所决定的。从过去的APT威胁来看，APT组织在一段时间内会保持其攻击目标行业的专注程度，这可能也与攻击组织在针对新的行业实施攻击时，需要时间收集和熟悉目标，并弥补自身能力与目标行业的缺失部分，以及构建相应的攻击武器库。

我们在2019年的威胁报告中首次加入从行业视角的APT威胁分析和研究，并且重点关注当年内针对特定行业的活跃攻击组织和攻击活动情况。除了政府、军事相关行业外，金融、能源和电信是APT威胁的主要行业目标，所以本报告对这3个行业在2019年的APT威胁情况进行总结。

一、金融行业

这里，我们将金融行业包括了传统的银行、证券行业以及新兴的数字货币交易所，以及像电子商务，在线的零售商家这些在线交易机构。针对金融行业的攻击主要以牟利为目的，除了像Emotet这样极为流行的银行木马外，也活跃着不少组织化的网络犯罪团伙，其通常拥有自己独立的攻击TTP和定制化的攻击武器集·合。少数APT组织同样也针对金融行业目标实施攻击，我们列举了2019年公开披露的主要活跃的针对金融行业的攻击组织。

LazarusGroup最早被发现针对金融银行的攻击是2016年2月，其针对孟加拉国银行SWIFT系统的APT攻击，并试图窃取9.51亿美金[61]。之后该组织就一直针对全球范围的金融银行机构实施攻击活动。由于其牟利的攻击动机和过去实施网络间谍活动和情报窃取不一致，所以一些安全厂商也将其攻击金融银行机构的活动以独立的子组织命名进行跟踪，例如卡巴作为Bluenoroff，FireEye作为APT38。

我们在上表中也列举了多个2019年公开披露过并且持续活跃的网络犯罪团伙。我们总结了网络犯罪团伙在2019年的主要攻击活动。

组织化的网络犯罪团伙和APT组织类似，其会定制化自有的攻击工具集，并且拥有自己的TTP模式。其通常会利用BEC攻击，垃圾邮件，钓鱼等方式活动初始的攻击立足，其也会结合公开或开源的渗透工具，包括Meterpreter，Cobalt Strike和Empire之类，并用于横向移动阶段。我们列举了数个网络犯罪团伙常用的攻击工具。

如FIN6组织的攻击工具集：

FIN7组织的攻击工具集，安全厂商也披露FIN7组织和新的僵尸网络AveMaria的运营有关[62]。

TA505网络犯罪组织会频繁新增和变更其攻击工具集，下表也列举了其在2019年活动中使用的攻击木马程序。

而MageCart组织似乎与上述组织有所不同，其主要以攻击目标网站和Web应用的供应链并在失陷的网站和Web程序中植入Java实现的skimmer脚本，从而窃取受害用户的信·用卡信息。该组织的活动非常频繁，并针对全球化的电子商务平台，在线零售等等。

与APT组织不同的是，网络犯罪组织的主要目的在于牟利，其更换其攻击工具或使用其他的网络犯罪程序更加容易，在网络犯罪的地下市场充斥着商业工具提供者或制作者，服务提供商，运营团伙等多类角色，所以更容易出现工具和恶意程序的重叠。并且由于角色的划分，攻击活动的归属和背后实施攻击活动的运营团伙可能出现变更。例如2018年8月1日，美国DoJ宣布逮捕了涉及FIN7相关的黑客人员，但FIN7的活动并未因此而停止，其极有可能是有新的运营人员接管了相关的攻击工具和网络犯罪平台以持续运营[62]。

从2019年主要的网络犯罪组织和APT组织针对金融行业目标的攻击活动来看，金融银行机构的PoS系统，ATM终端，SWIFT交易系统，以及与电子商务和在线支付相关的网站都是攻击组织的主要攻击对象，并且通过非授权的资金交易转账，获取和售卖支付卡和信用·卡数据，以及地下市场交易来进行非法牟利。

二、能源行业

能源行业包括了如石油、天然气、电力、核能、矿业等等领域，无论是从国家经济层面还是社会民生层面都和能源行业息息相关。随着能源行业这些传统行业的组织和机构如今也向着信息化程度的建设，也必然带来了其可能作为网络攻击和网络利用的重要目标之一。

从网络攻击的动机来看，能源行业可能主要面临着APT威胁，其用于在必要时对目标进行破坏和影响，导致目标产线异常甚至出现生产错误。由于能源行业部分也涉及了敏感的信息和数据，其也是APT威胁中的重要目标。

而对于能源行业来说，甚至是扩展到工业控制领域，其主要可以划分为IT和OT两个部分，其网络通常与互联网隔离，重要的工业产线控制甚至是在隔离网络下，并可能由专用的系统和软件加以控制，然而其依然会存在被攻击的风险。在今年，一份外媒报道[63]也披露了当年的Stuxnet事件中，由欧洲某国情报人员招募的一名工程师，由其携带了带有病毒的USB设备并插入到内部系统，从而获得了访问权。

对能源行业目标的攻击和破坏对于国家、社会和民生安定来说影响是巨大的，例如2015年乌克兰的两次停电事件，2019年南美地区包括委内瑞拉、阿根廷和乌拉圭地区的停电事件都对当地人名的生活造成了巨大的影响。虽然今年上半年南美地区的大规模停电事件并没有明确的证据显示和网络攻击有确凿的联系，但结合当年乌克兰的停电事件我们依然可以评估网络攻击针对电力系统的攻击破坏所造成的影响会是巨大的。

我们在这里也列举出2019年公开披露的针对能源行业的APT攻击活动和主要的APT组织。

从公开披露的APT威胁报告来看，中东是针对能源攻击活动的重点活跃地域之一，这也与中东地区复杂的地缘政治因素和已有的丰富能源产业有关。

像OilRig组织，后续国外安全厂商常和APT34进行合并跟踪，能源行业是其主要的目标之一，如知名的Shamoon恶意程序就被公开认为和起相关，并曾经用于攻击和破坏沙特阿·拉伯的石油公司造成了其服务停止。

HEXANE，又称LYCEUM，其是由国外安全公司Dragos披露的主要针对工业控制领域攻击的团伙[64]，其最早可能从2018年4月开始活动。其攻击手法被认为和APT33、APT34存在相似，但并未出现明确的线索重叠[65]。

另一个值得关注的是，疑似LazarusGroup在9月-10月期间被发现针对印度Kudankulam核电厂的网络攻击，虽然主要攻击的是核电厂的IT网络，并未进入到OT网络中。该事件中似乎使用了一个Dtrack样本，其用于横向移动阶段，并且硬编码了疑似核电厂相关的登录名称。

三、电信行业

电信行业是另一个APT威胁中的重要目标行业之一，由于电信行业承担着互联网骨干网络和核心基础设施的运营，以及包括电信网、蜂窝网、移动通信和有线电视等。

针对电信行业目标实施APT攻击往往能够建立在更高维度的基础设施控制能力下实现包括劫持、监听、篡改等目的。

我们总结了2019年公开披露的针对电信行业的攻击活动和活跃组织如下：

第四章 2020年高级持续性威胁预测

我们基于2019年APT威胁的趋势以及近年来APT威胁组织和活动的变化情况对2020年高级持续性威胁进行预测。

一、APT威胁归因困难导致攻击归属命名更加碎片化

奇安信威胁情报中心一直在收集、分析和研判全球范围APT类威胁的归属命名和公开披露情报，但我们发现APT威胁的归因问题变得更加复杂和困难。

APT攻击组织在实施攻击活动的操作安全上变得更加谨慎，并且利用多种方式避免其行为特征被发现和关联，在过去我们看到了攻击组织使用如下的方法：

频繁更换攻击程序的形态，避免代码重用；

利用和定制化公开的或开源的攻击工具，利用脚本语言和商业工具；

利用无文件攻击技术尽量避免攻击载荷的留存；

利用本地命令，也称为live off the land攻击；

故意留下假旗标志误导安全分析人员；

劫持其他攻击组织的控制基础设施。

归因的问题最终导致了归属命名的碎片化，从而依赖于更丰富维度的元数据和线索证据来佐证最终的归因判定。

另外，一些高价值目标可能会同时作为不同APT组织的攻击目标，造成攻击活动重叠的冲突，也可能给归属分析判定带来影响。

二、出现更多的在野0day攻击案例

在2018年的全球高级持续性威胁报告中，我们总结了在2018年公开披露的在野攻击活动中利用的0day漏洞总共有14个，涉及明确的攻击组织6个。在2019年的报告中，我们总结了2019年内公开披露的在野攻击活动中利用的0day漏洞总共有17个，涉及明确的攻击组织至少7个，相对于2018年来说略有增长。然而2019年的0day攻击案例中，似乎并未出现新的文档型漏洞的利用，并且随着Adobe Flash生命的完结，未来利用Flash的漏洞可能会越来越少。

在2019年中，针对浏览器的完整利用链在被曝光的在野攻击活动中出现的越来越多，不光是针对PC，还有针对Android、iOS移动设备，其漏洞利用往往需要更少的用户交互即可完成。从趋势上来看，我们也认为未来会出现更多的在野0day攻击案例。

三、针对行业性的APT威胁越发凸现

我们预测在未来针对行业性的APT威胁活动会越来越多，也就是说APT威胁活动不光局限于政府、国防、军工、外交等领域的目标，金融、能源和电信也可能作为未来APT威胁中的重点攻击目标。

从今年的威胁活动来看，网络犯罪团伙正向着高度组织化，高度武器化和高度战术化的趋势发展，其大多拥有一套自定义的攻击工具集和战术技术过程。以牟利为动机的针对金融银行行业的攻击活动，不光是针对受害用户自身的在线资金的攻击（包括银·行卡信息盗窃），还会针对金融机构本身的系统、终端、网络实施攻击活动，并尝试获得更大的战果。

从APT攻击的动机来看，金融、能源和电信是高度符合攻击组织需要的，通过攻击金融银行机构实现所需资金的补充，攻击能源行业会对目标国家发展和社会安定的破坏，甚至获取重要的情报，例如针对核能领域的攻击，以及攻击电信通信行业能够获取到骨干网或核心网络基础设施的控制权。

由于APT威胁可能针对特定行业实施，攻击组织在筹备攻击活动以前会更多的尝试对目标行业情况进行情报收集，并积极弥补和目标的技术差距，并针对性构建攻击工具集。因此，攻击组织需要准备更加针对性的攻击能力和攻击战技术。

四、5G商业化和物联网或为APT威胁提供新的控制基础设施

今年，5G正在向商业化的趋势发展，5G网络提供的高质量和高速率的网络通信能力必将为物联网带来进一步的发展空间。物联网设备，家用智能设备，路由器，甚至智能手机等在未来都可能以某种形式连接在一起，然而其中的终端设备安全良莠不齐必然导致存在诸多的安全风险。

从过去的VPNFilter事件，名为Inception Framework APT组织利用路由器UPnP功能最为代理隐藏自身，可以看出基于物联网设备的攻击活动不再是网络黑客的专属，其同样会被应用到APT威胁攻击中。并且从2016年Mirai造成美国东海岸断网事件来看，其同样可以用于网络攻击破坏中，以瘫痪目标网络和基础设施服务。

五、更加频繁和隐蔽的网络攻击破坏活动

2019年从公开报道和披露，有不少疑似与网络攻击或者疑似网络攻击造成的破坏活动，其主要和电力系统，政府机构，核电厂，炼油厂相关。网络攻击所造成的破坏活动能够瘫痪目标系统或者造成目标运转的异常，最终导致国家发展、社会民生造成不安定的影响。

网络攻击破坏活动相对于军事行动来说，更加具有隐蔽性和溯源难的特点，从而攻击源头可以进行否认。由此可以预见未来网络攻击破坏活动可能更加频繁。

第五章针对高级持续性威胁的分析和对抗

在本年度全球高级持续性威胁报告的最后，我们结合APT类威胁的趋势以及奇安信威胁情报中心过去在APT威胁分析研究的经验，在这里我们也提出在APT威胁分析和对抗中的几个观点，以供业界参考和讨论。

一、元数据是应对高级威胁的数据基础

从美国 DoJ 在2018年9月公开对朝鲜一名黑客成员和Lazarus APT 组织的长达179页的指控书中[68]，其详细阐述了调查人员如何将历史的APT 攻击事件和Lazarus APT 组织以及朝鲜黑客成员通过电子证据联系到一起，其中涉及的数据维度包括：

针对攻击事件和被攻击目标的事件响应和取证证据；

邮件、社交网络数据、在线互联网应用和服务数据；

第三方安全厂商提供的威胁数据和分析结果；

公开来源威胁情报；

网络基础设施的历史信息，域名注册，动态域名注册，DNS记录等；

搜索历史，包括搜索引擎，社交网络应用搜索记录等；

终端设备指纹和设备访问互联网实体的记录；

IP维度的访问互联网实体记录；

黑客论坛，黑客技术交流社区等相关数据；

安全厂商或团队的协助。

在179页的指控书中举证的不同维度元数据之间的关联性证据多达856条。

在如今APT威胁的归因分析越来越困难的趋势下，构建更广维度的元数据集·合以及元数据间直接或间接的关系图将会作为APT威胁关联和归属判断的重要依据。

二、构建高级威胁组织知识库

奇安信威胁情报中心一直致力于构建全球范围高级威胁组织和活动的知识库，由于APT类威胁归属命名的碎片化造成的“混乱”现象，导致在APT威胁追踪时往往不能明确两个命名归属的威胁活动是否关联或者是否需要合并导致给最终的归因分析造成困扰。

收集、分析和运营APT类威胁情报，构建围绕攻击组织或活动、情报来源、攻击武器或工具以及网络威胁情报指标四个维度的知识库能够帮助我们在APT威胁分析中研究攻击源头及其演变，以及研究APT威胁的现状和发展趋势。

奇安信威胁情报中心在今年也对外披露了一批我们收录的攻击组织和活动，及其归属的攻击工具集的Hash[66]，旨在向业内和研究APT威胁的机构和研究团队贡献出一份知识库。详情可参见奇安信威胁情报中心发布APT数字武器陈列项目：https://github.com/RedDrip7/APT_Digital_Weapon

三、高级威胁对抗需要人机结合

APT攻击组织正变得更加聪明和狡猾，因此对于APT攻防来说，最终是攻防双方背后人的角力，思路的角力，寄希望于机器完全解决APT防御的问题似乎是不可能的。高级威胁对抗需要人机协同，机器解决海量数据中筛选异常和可疑的行为并推荐给有经验的威胁分析师，并且从已知的元数据集中挖掘相关的碎片，由分析师最终将碎片化的证据形成证据链从而还原真实的攻击场景，并且最终完成知识库的更新。

参考链接

1.

2.

4.

5.

6.

7.

12.

19. ******-the-latest-victim-to-bgp-hijack/

22.

25.

31.

35.

36.

39.

41.

42. *****an-groups-targeted-with-1-click-mobile-exploits/

44.

45.

48.

49.

51.

53.

57.

64.

66.