全球高级持续性威胁( APT)
2019年中报告
发布机构: 奇安信威胁情报中心
2019年6月26日
1 序 言
奇安信威胁情报中心 在2018年曾公开发布了两篇全球高级持
续性威胁研究 总结报告 [参考链接 :2 3],其中总结了高级持续性威
胁背后的攻击组织在过去一年中的攻击活动和战术技术 特点。
如今, 2019年已经过去一半,我们在对历史活跃 APT组织近
半年的攻击活动情况的 持续跟踪过程中, 呈现地缘政治特征的国家
背景黑客组织 作为观察的重点 , 其实施的网络威胁活动始终穿插在
现实的大国政治和军事博弈过程中 , 网络空间威胁或已成为各国情
报机构和军事行动 达到其情报获取或破坏目的所依赖的重要手段
之一。
本报告主要分成两个部分,第一部分主要总结在 APT威胁来
源的地域特征下主要活跃的 APT组织, 以及其在 2019年上半年的主要情况 ;第二部分基于近半年重要的全球高级持续性威胁事件,
对整体威胁态势的总结。
2 研究方法
在此报告的开始,我们列举了本研究报告所依赖的资料来源
与研究方法 ,其中主要包括:
内部和外部的情报来源,其中内部的情报来源包括奇安
信威胁情报中心旗下红 雨滴团队对 APT威胁的持续分析
跟踪及相关的威胁情报 ;外部的情报来源包括主要发布
APT类情报 178个公开数据源,涉及安全厂商、博客、
新闻资讯网站、社交网络等。
MITRE组织总结的ATT&CK 框架以及威胁组织、攻击
工具列表 [4]也是对研究 APT组织及其战术技术特点的
重要基础之一。 其他公开的 APT组织及行动资料,包括 MISP项目 [5],
国外安全研究人员 Florian Roth 的APT组织和行动表格
[6]等等。
APT组织的国家和地域归属判断是综合了外部情报的
结果,并不代表奇安信威胁情报中心 自身的判定结论。
3 目 录
序 言 ................................ ................................ ................................ ... 1
研究方法 ................................ ................................ ............................... 2
第一部分 地缘政治下的 APT组织 ................................ ..................... 4
一、 东亚 ................................ ................................ ....................... 6
二、 东南亚 ................................ ................................ ................... 9
三、 南亚次大陆 ................................ ................................ ......... 11
四、 东欧 ................................ ................................ ..................... 13
五、 中东 ................................ ................................ ..................... 15
六、 北美 ................................ ................................ ..................... 18
第二部分 上半年全球 APT威胁态势 ................................ ............... 20 一、 APT组织采用的供应链攻击 ................................ ................ 20
二、 国家公共基础设施或将成为网络战的重点 ......................... 20
三、 APT组织网络武器 库的泄露与扩散 ................................ .....21
四、 APT组织间的 “黑吃黑 ”游戏 ................................ ................. 22
五、 APT狩猎下的中国威胁论 ................................ .................... 22
总 结 ................................ ................................ ................................ ..24
附录 1 奇安信威胁情报中心 ................................ ........................... 25
附录 2 红雨滴团队( REDDRIP TEAM )................................ ........... 26
附录 参考链接 ................................ ................................ .................... 27
4 第一部分 地缘政治 下的 APT组织
自2010年震网事件被发现以来, 网络攻击正在被各个国家、
情报机构用作达到其 政治、外交、军事 等目的的重要手段之一 。在
过去对 APT活动的追踪过程中, APT攻击往往伴随着现实世界重
大政治、外交活动 或军事冲突 的发生前夕和过程中 ,这也与 APT
攻击发起的动机 和时机相符。
奇安信威胁情报中心 结合公开情报中对 APT组织归属的结论 ,
按地缘特征对全球主要的 APT组织和攻击能力 进行评估 ,并对其
在2019年最近半年的攻击活动的总结。
地域 主要组织 攻击能力
东亚 Lazarus Group
Group 123/ APT37
Kimsuky
Darkhotel + +
+ +
+
+ +
东南亚 海莲花 / APT32 + +
南亚次大陆 摩诃草
蔓灵花 / BITTER
肚脑虫 / Donot Team
Confucius + +
+
+
+
东欧 APT28
APT29
Turla
GreyEnergy + + +
+ +
+ + +
+ +
中东 MuddyWater
APT34/ OilRig
Stealth Falcon / FruityArmor +
+ +
+ +
北美 方程式
Longhorn + + +
+ + +
表:地缘政治下的全球主要 APT组织及能力
5
6 一、 东亚
围绕东亚一直是全球 APT威胁活动 最为活跃的地域之一 ,最
早在 2011年曝光的 Lazarus Group 是历史上 少数几个最为活跃的
APT组织之一。
Lazarus Group ,据公开披露被 认为是朝
鲜Bureau 121 背景下的 APT组织,历史曾攻
击索尼娱乐,全球多家银行 SWIFT系统以及
和Wannacry 勒索病毒有关。 2018年9月,美
国DoJ和FBI联合公开指控朝鲜黑客 PARK
JIN HYOK 及Chosun Expo 机构与上述攻击事件有关,并指出其背
后为朝鲜政府 [7]。
我们注意到 近年来针对 Lazarus活动的披露有所减少, 其攻击
目标主要为金融和加密货币相关, 推测其动机更倾向于 获得经济利
益。 我们总结了 Lazarus组织在近半年的主要攻击活动, 如图所示。
7 Lazarus使用的攻击工具如下:
名称 说明
Rising Sun 第二阶段植入物,由 Duuzer
后门演化的新渗透框架
KEYMARBLE RAT工具,使用伪 TLS通信
HOPLIGHT 木马,使用公共 SSL证书进
行安全通信
ELECTRICFISH 网络代理和隧道工具
除了 Lazarus,在近两年来,另外两个朝鲜语系的 APT团伙表
现出了异常的活跃,分别是 Group 123 和Kimsuky。近年来,朝鲜
半岛的政治局势日益趋向于缓和的局势, 朝鲜政府也积极就朝核问
题、朝韩双方关系与美国、韩国展开对话 ,但缓和的政治外交局势
下,并不能掩盖 东亚区域依然频繁的网络情报活动。
结合两个组织历史攻击活动,我们推测 Kimsuky 更关注于朝
鲜半岛的政治外交问
奇安信 全球高级持续性威胁(APT)2019年中报告
安全报告 >
奇安信 >
文档预览
中文文档
31 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共31页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 思安 于 2022-11-26 07:59:29上传分享