全球高级持续性威胁（ APT ） 2019 年中报告 发布机构： 奇安信威胁情报中心 2019年6月26日 1 序 言 奇安信威胁情报中心 在2018 年曾公开发布了两篇全球高级持 续性威胁研究 总结报告[参考链接 ：2 3]，其中总结了高级持续性威 胁背后的攻击组织在过去一年中的攻击活动和战术技术 特点。 如今，2019 年已经过去一半，我们在对历史活跃 APT 组织近 半年的攻击活动情况的 持续跟踪过程中， 呈现地缘政治特征的国家 背景黑客组织 作为观察的重点 ， 其实施的网络威胁活动始终穿插在 现实的大国政治和军事博弈过程中 ， 网络空间威胁或已成为各国情 报机构和军事行动 达到其情报获取或破坏目的所依赖的重要手段 之一。 本报告主要分成两个部分，第一部分主要总结在 APT 威胁来 源的地域特征下主要活跃的 APT 组织， 以及其在 2019 年上半年的主要情况 ；第二部分基于近半年重要的全球高级持续性威胁事件， 对整体威胁态势的总结。 2 研究方法 在此报告的开始，我们列举了本研究报告所依赖的资料来源 与研究方法 ，其中主要包括： z 内部和外部的情报来源，其中内部的情报来源包括奇安 信威胁情报中心旗下红 雨滴团队对APT 威胁的持续分析 跟踪及相关的威胁情报 ；外部的情报来源包括主要发布 APT 类情报178个公开数据源，涉及安全厂商、博客、 新闻资讯网站、社交网络等。 z MITRE 组织总结的ATT&CK 框架以及威胁组织、攻击 工具列表 [4]也是对研究APT 组织及其战术技术特点的 重要基础之一。 z 其他公开的 APT 组织及行动资料，包括 MISP 项目[5]， 国外安全研究人员 Florian Roth 的APT 组织和行动表格 [6]等等。 z APT 组织的国家和地域归属判断是综合了外部情报的 结果，并不代表奇安信威胁情报中心 自身的判定结论。 3 目 录 序 言 ................................ ................................ ................................ ... 1 研究方法 ................................ ................................ ............................... 2 第一部分 地缘政治下的 APT 组织 ................................ ..................... 4 一、 东亚 ................................ ................................ ....................... 6 二、 东南亚 ................................ ................................ ................... 9 三、 南亚次大陆 ................................ ................................ ......... 11 四、 东欧 ................................ ................................ ..................... 13 五、 中东 ................................ ................................ ..................... 15 六、 北美 ................................ ................................ ..................... 18 第二部分 上半年全球 APT 威胁态势 ................................ ............... 20 一、 APT 组织采用的供应链攻击 ................................ ................ 20 二、 国家公共基础设施或将成为网络战的重点 ......................... 20 三、 APT 组织网络武器 库的泄露与扩散 ................................ .....21 四、 APT 组织间的 “黑吃黑”游戏 ................................ ................. 22 五、 APT 狩猎下的中国威胁论 ................................ .................... 22 总 结 ................................ ................................ ................................ ..24 附录1 奇安信威胁情报中心 ................................ ........................... 25 附录2 红雨滴团队（ REDDRIP TEAM ）................................ ........... 26 附录 参考链接 ................................ ................................ .................... 27 4 第一部分 地缘政治 下的APT 组织 自2010 年震网事件被发现以来， 网络攻击正在被各个国家、 情报机构用作达到其 政治、外交、军事 等目的的重要手段之一 。在 过去对APT 活动的追踪过程中， APT 攻击往往伴随着现实世界重 大政治、外交活动 或军事冲突 的发生前夕和过程中 ，这也与 APT 攻击发起的动机 和时机相符。 奇安信威胁情报中心 结合公开情报中对 APT 组织归属的结论 ， 按地缘特征对全球主要的 APT 组织和攻击能力 进行评估 ，并对其 在2019 年最近半年的攻击活动的总结。 地域 主要组织 攻击能力 东亚 Lazarus Group Group 123/ APT37 Kimsuky Darkhotel + + + + + + + 东南亚 海莲花/ APT32 + + 南亚次大陆 摩诃草 蔓灵花/ BITTER 肚脑虫/ Donot Team Confucius + + + + + 东欧 APT28 APT29 Turla GreyEnergy + + + + + + + + + + 中东 MuddyWater APT34/ OilRig Stealth Falcon/ FruityArmor + + + + + 北美 方程式 Longhorn + + + + + + 表：地缘政治下的全球主要 APT 组织及能力 5 6 一、 东亚 围绕东亚一直是全球 APT 威胁活动 最为活跃的地域之一 ，最 早在2011 年曝光的 Lazarus Group 是历史上 少数几个最为活跃的 APT 组织之一。 Lazarus Group ，据公开披露被 认为是朝 鲜Bureau 121 背景下的 APT 组织，历史曾攻 击索尼娱乐，全球多家银行 SWIFT 系统以及 和Wannacry 勒索病毒有关。 2018 年9月，美 国DoJ 和FBI联合公开指控朝鲜黑客 PARK JIN HYOK 及Chosun Expo 机构与上述攻击事件有关，并指出其背 后为朝鲜政府 [7]。 我们注意到 近年来针对 Lazarus 活动的披露有所减少， 其攻击 目标主要为金融和加密货币相关， 推测其动机更倾向于 获得经济利 益。 我们总结了 Lazarus 组织在近半年的主要攻击活动， 如图所示。 7 Lazarus 使用的攻击工具如下： 名称 说明 Rising Sun 第二阶段植入物，由Duuzer后门演化的新渗透框架 KEYMARBLE RAT工具，使用伪TLS通信 HOPLIGHT 木马，使用公共SSL证书进行安全通信 ELECTRICFISH 网络代理和隧道工具 除了Lazarus ，在近两年来，另外两个朝鲜语系的 APT 团伙表 现出了异常的活跃，分别是 Group 123 和Kimsuky 。近年来，朝鲜 半岛的政治局势日益趋向于缓和的局势， 朝鲜政府也积极就朝核问 题、朝韩双方关系与美国、韩国展开对话 ，但缓和的政治外交局势 下，并不能掩盖 东亚区域依然频繁的网络情报活动。 结合两个组织历史攻击活动，我们推测 Kimsuky 更关注于朝 鲜半岛的政治外交问题， 并通常结合相关热点事件用于诱饵文档内 容；而Group 123 则针对更广泛的网络情报获取。