序 言 过去的一年 ，在网络威胁（ Cyber Threat）领域度过了颇为不平静的 一年。网络威胁 和攻击似乎更为广泛的应用于地缘政治和军事冲突 之下， 其作为除了军事打击之外更为有效的手段。 通常，实行军事行动或军事打 击，往往受制于国力、财力、军力、国际舆论、政治压力等多方面因素， 而实施网络攻击行动则是利用更加隐蔽的方式达成类似的效果。 网络行动 （CNO）在美国军事领域被视为信息作战的核心能力之一，其 由网络攻击（ CNA）、网络防御（ CND）和网络利用（ CNE）组成。 过去我们 讨论的更多的 APT威胁都属于 CNE范畴，其主要的意图在于收集目标系统 或网络的情报数据并加以利用 。因此，持久化和隐匿性是实施 CNE的重要 基础。 而CNA的主要目的在于 干扰 （Disrupt） 、 拒绝 （Deny） 、 降级 （Degrade）、 破坏 （Destroy）目标的设施、 设备、 网络甚至数据信息。 当下像政务系统、 电力能源、医疗、工业制造等具备更高的信息化和智能化，导致一旦出现 网络攻击，其不仅仅是面临 财产的损失，而且对社会和民生造成极大的影 响。由于CNA所造成的影响和现象是明显的，其类似 于现代军事行动具备 在较短时间范围就能达到行动目标，而实施 CNA的基础则在于对潜在目标 的了解程度和网络武器的装备化 ，所以其往往依赖于历史的网络利用活动， 或是结合网络利用 。像震网事件、乌克兰停电事件、 WannaCry 爆发都是较 为典型的网络攻击的形态。 过去，我们在分析、发现、识别和跟踪网络攻击和利用活动时，不仅 关注于攻击的战术技术特点， 以及总结和归纳其攻击来源和攻击组织的手 法和变化，从而提高对对手的了解程度以及研究 APT威胁的趋势。 结合过 去我们对 APT威胁的研究基础， APT威胁正在变得更加复杂化，其不光体 现在对手的策略和能力的提升， 而且更加注重对自身 的操作安全 （ OPSEC）， 通过隐藏、伪装、误导、模仿的方式减少留下自身的行为指纹 ，对APT威 胁的归因分析带来挑战 。APT组织寻求 更高维度的攻击链路，包括对广域 网的流量劫持，基础设施劫持，供应链攻击等等，导致对于 APT威胁分析 依赖于更广维度的数据来源和元数据类型。 我们在每次全球高级持续性威胁的 研究总结报告中对近一年内 全球 APT威胁活动和 APT研究成果的分析和总结，并提出我们对 APT威胁的变 化趋势的看法。 也寄希望于对业内的 APT研究和防御提供一些基础性思路。 概 要 结合2019年全年高级持续性威胁活动情况来看，我们认为近一年来 高级威胁活动呈现出如下的趋势。  2019年，奇安信威胁情报中心收录了高级威胁类公开报告总共 596 篇，其中涉及了 136个命名的攻击组织或攻击行动 ，被认为 活跃在东 亚半岛范围的 3个APT组织被披露的频率最高 。政府、防务行业的目 标依然是 APT威胁的主要目标，而不可忽视的是，能源和通信行业也 已经成为 APT威胁的重要针对对象。  在此次报告中， 我们依然围绕地缘特征总结了 6大地区总共 22个APT 组织在近一年的攻击活动情况以及使用的主要攻击工具 。 按照地缘特 征划分来研究 APT威胁活动 ：一方面是因为 按地域划分下其通常拥有 较为相似的地缘政治因素， 导致 APT活动和APT组织的意图和动机具 备相似性和可比性 ；另一方面也是为了在归因困难和攻击 TTP出现重 叠的情况下，对同一地域范围的威胁活动进行类比分析。  在报告中，我们也从行业视角分析了 针对金融、能源和电信行业在 2019年面临的高级威胁问题，并且总结了一年来主要的攻击组织和 攻击活动 。我们也认为 未来APT类威胁活动可能会更多的扩展到 金 融、能源和电信行业 ，并且更具有针对性。  在文中我们也总结了全年公开披露的在野 0day攻击情况，无论从披 露的在野漏洞攻击案例还是利用 0day漏洞的攻击组织数量都较去年 有所增长。在漏洞类型上，未发现公开披露新的文档类 0day漏洞案 例， 而针对 PC和移动终端的浏览器的完整漏洞利用链数量大大增加。  我们在此次的报告中也讨论了网络攻击造成的破坏性影响以及疑似 网络战相关的活动， 我们也认为网络攻击破坏活动相对于军事行动来 说，更加具有隐蔽性和溯源难的特点，从而攻击源头可以进行否认。 由此可以预见未来网络攻击破坏活动可能更加频繁。 研究方法 在此报告的开始，我们列举了本研究报告所依赖的资料来源与研究 方法，其中主要包括：  内部和外部的情报来源， 其中内部的情报来源包括奇安信威胁情报中 心旗下红雨滴团队对 APT威胁的持续分析跟踪及相关的威胁情报 [参 考链接[1]；外部的情报来源包括主要发布 APT类情报200多个公开数 据源，涉及安全厂商、博客、新闻资讯网站、社交网络等。  以MITRE ATT&CK框架[2]和NSA/CSS CTF 框架[3]为基础，作为对 威胁 组织攻击战术技术的标准化表达。  基于网络杀伤链模型 （ Kill-Chain） 对攻击步骤的定义， 我们结合 APT 威胁分析中易于观测到的阶段进行简化和合并：筹备阶段、攻击入口 和立足阶段、 持久化维持和横向移动阶段、 命令控制和数据渗出阶段。  基于钻石模型，我们总结对 APT威胁组织画像依赖的重要要素：攻击 活动、目标（地域目标、行业目标） 、能力（恶意程序、工具、漏洞 利用程序） 、资源（网络基础设施）。  对于APT组织的评判和定义，我们参考了 ATT&CK Groups[6]，MISP项 目[4]、国外安全研究人员 Florian Roth 的APT组织和行动表格[5]等 等。  APT组织的国家和地域归属判断是综合了外部情报的结果，并不代表 奇安信威胁情报中心自身的判定结论。 目 录 第一章 全球高级持续性威胁趋势 ................................ ................................ .. 1 一、 数量和来源 ................................ ................................ ......................... 1 二、 受害目标的行业与地域 ................................ ................................ ...... 2 三、 活跃的威胁攻击者 ................................ ................................ ............. 3 第二章 地缘下的 APT组织、活动和趋势 ................................ ...................... 5 一、 地缘下的活跃 APT组织 ................................ ................................ ...... 5 二、 广域网下的 APT威胁 ................................ ................................ ......... 22 三、 利用供应链攻击实施 APT活动 ................................ ......................... 23 四、 网络军火、 0DAY与APT威胁 ................................ .............................. 24 五、 网络战与 CNA ................................ ................................ ..................... 25 六、 移动终端场景的 APT威胁 ................................ ................................ .27 第三章 针对行业性的高级威胁活动 ................................ ............................. 28 一、 金融行业 ................................ ................................ ........................... 28 二、 能源行业 ................................ ................................ ........................... 31 三、 电信行业 ................................ ................................ ........................... 33 第四章 2020年高级持续性威胁预测 ................................ ..........