u h t i g 5 b m o .c 摘要 随着技术的发展和产业的升级，网络空间的威胁也愈加复杂。万物互联时代的临近，使网络空间与现实 的边界愈加模糊，网络攻击也将更加广泛。在网络空间中，有组织有计划的网络攻击愈发常见，这其中包含 APT 攻击和趋利的灰黑产攻击，究其目的，无非获利、窃取情报、窃取敏感资料、监控和破坏等。 微步在线作为亚太地区连续两次唯一入选 Gartner 全球威胁情报市场指南的中国公司，一直持续关注对 APT 攻击和一般黑客团伙的研究。为此，微步在线自研了黑客画像、威胁狩猎和追踪溯源系统，实现了对全 球 190 余个主流黑客组织的持续追踪。 m o .c 本报告主要包含两部分内容，其一为 APT 攻击相关，主要内容包含 2019 年 APT 攻击概况，全球主流 APT 组织在 2019 年的活动情况，以及 2020 年最新攻击活动等；其二为微步在线在 2019 年发现的国内的部 分灰黑产活动。报告主要观点包含： 5 b ➢ 当前面临的网络威胁愈趋组织化，除了面临一般黑客的攻击，企业面临的 APT 攻击也愈加常见。 ➢ APT 攻击多出于政治目的，网络空间已是必争之地，而 APT 攻击则是情报刺探和打击破坏的利剑。 ➢ 我国是 APT 攻击的主要受害者，我国金融、能源、通信、交通和教育等关键领域一直遭受来自南亚、 u h t i g 东南亚、 东亚和欧美等地区的 APT 攻击， 本年度攻击我国的活跃 APT 组织包含 APT32、 Bitter、 SideWinder、 BlackTech、BlueMushroom 等。 ➢ APT 组织善于借助时事话题发起攻击，新型肺炎爆发以来，有印度背景 APT 组织 Patchwork、台湾背 景 APT 组织 GreenSpot 和越南背景 APT 组织 APT32 等利用疫情相关话题为诱饵针对我国政府等行业 进行攻击。 ➢ APT 组织会相互学习，甚至相互攻击、栽赃嫁祸和攫取他人的攻击成果。 ➢ APT 攻击武器库的泄露极大提升了一般黑客攻击的威力，如永恒之蓝漏洞利用工具的公开，导致挖矿 成为最为常见的威胁之一。 ➢ 出于监控等目的，移动端的 APT 攻击愈加常见，但技术突破不大。 目录 摘要 ............................................................................................................................................................................. 1 一、 APT 攻击 ..................................................................................................................................................... 4 2019 年 APT 攻击概观 ....................................................................................................................................... 5 APT 研究成果 ............................................................................................................................................. 5 APT 攻击高发区 ......................................................................................................................................... 6 APT 攻击趋势 ............................................................................................................................................. 7 APT 攻击手法 ............................................................................................................................................. 7 2020 年最新攻击活动 ........................................................................................................................................ 8 “白象”组织利用新型肺炎为诱饵对我国发起攻击 .................................................................................. 8 m o .c 台湾 APT 组织“绿斑”借新型肺炎为诱饵发起攻击................................................................................. 9 “海莲花”利用新型肺炎为诱饵发起攻击 ................................................................................................ 12 DarkHotel 利用零日漏洞进行攻击.......................................................................................................... 12 境外“藏独”分子号称针对我国发起攻击 ................................................................................................ 14 5 b 典型 APT 组织 .................................................................................................................................................. 16 欧洲 ........................................................................................................................................................... 16 APT28 ................................................................................................................................................ 17 u h t i g Cobalt................................................................................................................................................. 19 Gamaredon ......................................................................................................................................... 21 Turla ................................................................................................................................................... 22 HexCode ............................................................................................................................................ 23 北美 ........................................................................................................................................................... 23 Stuxnet ............................................................................................................................................... 24 DePriMon .......................................................................................................................................... 24 Lamberts ...............................................................................................