全球高级持续性威胁（ APT） 2018年报告 发布机构： 奇安信威胁情报中心 2019年1月2日 序 言 Threat Actor （即威胁行为体 ），在威胁情报中用于描述实施网络攻击 威胁的个人 、团伙或组织以达到其恶意的动机和意图。 威胁行为体 ，是为了标记对实施网络威胁攻击的人、团伙或者组织而 建立的虚拟实体。通常 将攻击者或其实施的攻击行动赋予独有的代号， 以 便于从广泛的攻击活动中识别、区分归属于该攻击来源相关的并进行持续 性的威胁活动跟踪。 以攻击者的维度持续跟踪威胁活动， 持续完善攻击者 画像的拼图 ，能够更好的完成挖掘威胁攻击背后的动机，追溯攻击真实的 来源，研究攻击技术的演变，提供更有效的安全防御策略 。 结合 2018年全年国内外各个安全研究机构、安全厂商披露的威胁活 动，以及近几年来历史披露的高级持续性威胁活动 ，通常 APT组织和网络 犯罪组织的威胁尤为关注，其往往能够对行业、企业和机构造成更严重的 影响，并且更加难于发现和防御。 APT组织，通常具有国家或情报机构背景，或者专门实施网络间谍活 动，其攻击动机主要是长久性的情报刺探、收集和监控，也会实施如牟利 和破坏为意图的攻击威胁。 APT组织主要攻击的目标包括政府、军队、外 交、国防 外，也覆盖科研、能源以及国家基础设施性质的行业和产业。 网络犯罪组织主要以牟取经济利益而实施攻击活动， 近年来，数个活 跃的网络犯罪组织也呈现出明确的组织化特点，并且使用其自身特色的攻 击工具和战 术技术。网络犯罪组织对于如金融、银行、电子商务、餐饮零 售等行业带来了巨大的资金损失和业务安全风险。 本报告是 奇安信威胁情报中心 基于收集的公开威胁情报和内部产生 的威胁情报数据，对 2018年全年高级持续性威胁相关研究的总结报告， 主要内容分成三个部分： 1） 高级持续性威胁背后的攻击者 结合全年国内外各个安全研究机构、安全厂商披露的 高级威胁 活动报 告内容的统计分析，对 2018年高级威胁类攻击态势进行总结。 2） 针对中国境内的 APT组织和威胁 基于奇安信威胁情报中心 内部对多个针对中国境内的 APT组织持续 跟踪，包括海莲花、摩诃 草、 Darkhotel 、蓝宝菇、毒云藤等组织都在 2018 年对中国境内目标机构和人员频繁实施攻击活动 ，这里对上述组织相关攻 击活动进行回顾 。 3） APT威胁的现状和挑战 最后总结 APT威胁的现状和应对 APT威胁所面临的挑战，并对 APT 威胁的变化趋势进行 合理的预测。 主要观点  网络间谍活动变得更加普遍化， 这对 高级持续性威胁活动的持续跟踪 带来一些挑战 。我们需要更加明确的区分和识别高级持续性威胁攻击， 以及能够明确来源归属的攻击组织。 而对于不能明确归属的 APT威 胁，需要依赖于持续的威胁跟踪和更多的数据证据佐证。  APT威胁的归属问题正在变得更加明显， 其原因可能包括 攻击者不断 变化的攻击武器和使用更加匿名化的控制基础设施 ， 以及引入的 false flag或刻意模仿的攻击战术技术，一些成熟而完善的公开渗透工具 给 攻击者带来了更好的选择 。  2018年，奇安信威胁情报中心 公开披露了两个新的针对中国境内的 APT组织，以及多个针对中国境内频繁的 APT威胁活动，可以看到 随着我国在国际形势中的日益发展，地缘政治 、外交形势等立场下高 级持续性威胁将变得更加严峻 。  2018年多次曝光的在野 0 day攻击的发现，展现了 APT攻击者的技 术能力储备和提升， 威胁的攻击和防御变得更加白热化， APT威胁的 防御和响应的时效性变得尤为重要 。  威胁攻击者也在发掘一些新的攻击方式，也包括使用了部分“陈旧而 古老”的技术特性，绕过或逃避威胁检测机制从而实施攻击，结合目 标人员的安全意识弱点往往也能够取得不错的攻击效果 。  奇安信威胁情报中心在 2018年监测到的高级持续性威胁相关公开报 告总共 478篇，其中下半年报告披露的频次和数量明显高于上半年。 从公开报告的 发布渠道统计来看， 2018年国内安全厂商加大了对 高 级威胁攻击事件及相关攻击者 的披露频率，其中奇安信来源披露的高 级威胁类报告数量处于首位，并且明显超过其他安全厂商。  在对 APT威胁攻击的持续跟踪过程中，通常会将明确的 APT 攻击 行动或攻击组织进行命名， 用于对攻击背后实际的攻击组织映射成一 个虚拟的代号，以便更好的区分和识别具体来源的攻击活动。历史披 露的明确的 APT攻击组织至少有 80个。  截至目前， 奇安信威胁情报中心明确的针对中国境内实施攻击活动的， 并且依旧活跃的 公开 APT 组织，包括海莲花，摩诃草，蔓灵花， Darkhotel ，Group 123，毒云藤和蓝宝菇，其中毒云藤和蓝宝菇是 奇 安信威胁情报中心 在2018年下半年公开披露并命名的 APT 组织。  APT威胁也不再是 APT组织与安全厂商之间独有的“猫和老鼠”的 游戏，还作为国家与国家之间博弈以及外交舆论层面的手段。例如美 国司法部在 2018年就多次公开指控了被认为是他国黑客成员对其本 土的网络威胁活动，最为详细的就是指控朝鲜黑客 PARK JIN HYOK 历史涉及的攻击活动，而过去影子经纪人曝光的 NSA网络武器库资 料，维基解密曝光的 Vault 7项目以及卡巴斯基披露的 Slingshot 攻击 行动都被认为与美国本土情报机构有关 。 关键词：APT、海莲花、毒云藤、蓝宝菇 目 录 第一章 公开披露的全球高级持续性威胁 ................................ ....................... 1 一、 数量和来源 ................................ ................................ ......................... 1 二、 受害目标的行业与地域 ................................ ................................ ...... 2 三、 威胁攻击者 ................................ ................................ ......................... 4 第二章 高级持续性威胁背后的攻击者 ................................ .......................... 6 一、 活跃的国家背景组织 ................................ ................................ .......... 6 二、 值得关注的 APT攻击者 ................................ ................................ ..... 9 第三章 针对中国境内的 APT组织和威胁 ................................ ..................... 18 一、 海莲花（ APT-C-00）................................ ................................ .......... 18 二、 毒云藤（ APT-C-01）................................ ................................ ......... 19 三、 蓝宝菇（ APT-C-12）................................ ................................ ......... 20 四、 DARKHOTEL（APT-C-06） ................................ ................................ ......22 第四章 APT威胁的现状和挑战 ................................ ................................ .23 一、 多样化的攻击投放方式 ................................ ................................ .....23 二、 0DAY 漏洞和在野利用攻击 ................................ ................................ 26 三、 APT 威胁活动归属面临的挑战 ................................ ......................... 27 四、 APT 威胁的演变趋势 ................................ ..............