发布于 2020/06/29奇安信威胁情报中心多年来持续跟踪分析全球高级持续性威胁 （APT） 活动趋势， 总结高级持续性威胁背后的攻击组织在过去一段时间中的攻击活动和战术技术特点。如今， 2020年即将过去不平静的半年， 而在全球网络安全领域也充满了变化和挑战。 1月底， 奇安信威胁情报中心监测到国外多个 APT 组织利用新冠疫情相关热点事件为诱饵对中国境内目标和机构实施 APT 攻击活动。 随后利用新冠疫情实施的 APT 攻击活动被频频曝光。 同时， 由于企业远程办公和利用VPN远程接入企业网络的情况越来越普遍， 多例围绕 VPN 应用的 APT 攻击活动也被发现。本报告， 总结了2020年上半年， 全球范围内的主要APT活动情况， 包括新的 APT 组织和地缘 APT 组织的活动变化趋势， 以及上半年全球 APT 事件所呈现的趋势。前 言前言 / 全球高级持续性威胁（APT）2020年中报告0101030607091214171921222324第一部分 上半年全球APT威胁态势一、 新冠疫情下的 APT 威胁活动二、 在野漏洞利用攻击的加剧三、 远程办公带来的新的 APT 威胁攻击面第二部分 地缘背景下的APT组织和活动一 、东 亚二、 东南亚三、 南亚次大陆四 、东 欧五 、中 东总 结附录1 奇安信威胁情报中心附录2 红雨滴团队 （REDDRIP TEAM）附录 参考链接目 录 目录 / 全球高级持续性威胁（APT）2020年中报告第一部分 上半年全球 APT 威胁态势 一、 新冠疫情下的 APT 威胁活动 2020 年 1 月下旬开始，新冠肺炎疫情爆发。 在此疫情形势下，APT 活动的活跃程度似乎并未受到影响， 反而借用疫情热点事件内容为诱饵的攻击活动变得越发频繁。根据奇安信红雨滴团队基于疫情相关网络攻击活动的监控来看，网络空间的攻击随着新冠病毒的扩撒而变化。前期， 从 2020 年 1 月下旬至 3 月初， 相关网络攻击集中于针对汉语使用者， 并多借以疫情相关中文热点诱饵信息进行攻击。 相关诱饵包含的信息例如： “武汉旅行” 、 “申请登记” 、 ” 信息收集” 、 ” 卫生部” 等等。中后期， 从 2 月中旬开始， 以疫情信息为诱饵针对全球范围的网络攻击开始激增。 诱饵信息开始转变为 多种语言， 以” Covid19” 、 ” Covid” 、 ” CORONA VIRUS” 、 ” Coronavirus” 、 ” COVID-19” 等诱饵信息为主。 COVID-19 COVID-19 COVID-19 COVID-19 Coronavirus Coronavirus Coronavirus COVID 19 COVID 19 ௏۽ա߄੉۞झ ௏۽ա߄੉۞झ 湖北 湖北 感染 疫情 中医 N95 N95 masks mashks 非典 禽流感 湖北 武汉 旅行 旅行 冠状病毒 冠状病毒 新型冠状病毒 Online Classes 卫生部 下图为红雨滴团队根据攻击活动相关的诱饵热词制作的词云图第一部分 上半年全球APT威胁态势 / 全球高级持续性威胁（APT）2020年中报告 01 奇安信威胁情报中心持续跟踪着疫情相关攻击活动， 2020年3月下旬， 我们曾发布《COVID-19 | 新冠病毒笼罩下的全球疫情相关网络攻击分析报告》 [6]一文， 披露了2020年第一季度疫情相关攻击活动， 之后，在红雨滴团队的持续监测过程中， 我们又捕获了Lazarus、 响尾蛇等组织利用疫情相关信息的攻击活动。例如Lazarus组织利用疫情相关信息分发HWP恶意文档针对韩国的攻击活动。 我们整理了利用新冠疫情为诱饵内容的 APT攻击组织和活动信息， 包括如右图的 APT 组织和活动。 根据奇安信威胁情报中心捕获的攻击样本等信息， 我们在右图中列举了截止目前为止借疫情进行APT攻击的团伙活跃程度。 活跃地域东亚东南亚南亚东欧中东APT组织和活动Lazarus Group、Kimsuky、KONNI、毒云藤海莲花摩诃草、蔓灵花、SideWinder、Transparent TribeGamaredon GroupCharming Kitten 疫情期间APT攻击活跃比例 海莲花 29% 摩诃草 10.5%蔓灵花 3.5%响尾蛇 7%Lazarus 3.5%Konni 7%Kimsuky 10.5%ProjectM 7%其它 3.5%毒云藤 18.5%第一部分 上半年全球APT威胁态势 / 全球高级持续性威胁（APT）2020年中报告 02这些APT团伙主要攻击包括政府、 军事、 医疗等行业目标及相关人员， 并且境外 APT 组织也积极利用疫情为诱饵针对我国目标实施 APT 攻击活动。除了上述 APT 组织以外， 网络犯罪团伙或威胁活动也利用疫情事件传播自身的恶意程序， 其中包括Gorgon、 TA505以及Packrat等。 二、 在野漏洞利用攻击的加剧 在2020年第一季度就被曝光和披露了多起在野漏洞利用的 APT 攻击活动： 其中奇安信威胁情报中心捕获了DarkHotel利用CVE-2019-1367微软IE浏览器远程代码执行漏洞针对我国的定向攻击， 由于相应利用代码在2019年 7月19日就被上传至受攻击服务器， 而该漏洞微软在2019年9月份才修补， 因此在攻击发生的当时漏洞还处于0day漏洞状态。 所以可以推断， 攻击者最晚在2019年7月就利用了该0day漏洞对我国实施网络攻击。 DarkHotel 使用两个针对浏览器的 0Day 漏洞 （CVE-2019-17026、 CVE-2020-0674） 针对中国 发起 APT 攻击；国外安全厂商披露 Microsoft Exchange Control Panel (ECP) 漏洞 CVE-2020-0688 被在野利用；火狐浏览器披露两个竞争条件导致的 UAF 漏洞 CVE-2020-6819 和 CVE-2020-6820 被在野利用；Chrome 浏览器漏洞 CVE-2020-6418 被在野利用；某反病毒产品存在两个 0day 漏洞 CVE-2020-8467 和 CVE-2020-8468 被在野利用。 2019-07-19 DarkHotel APT组织最晚于2019年7月就利用CVE-2019-1367 IE 0day漏洞对我国执行针对性的攻击 2020-02-06 奇安信威胁情报中心发现DarkHotel APT组织早前利用IE 0day 漏洞的攻击活动2019-09-23 微软发布安全公告并紧急推出修复补丁 2019-09-24 奇安信威胁情报中心评估影响面并发布风险提示第一部分 上半年全球APT威胁态势 / 全球高级持续性威胁（APT）2020年中报告 03DarkHotel入侵重要机构系统后台植入IE 0day漏洞获取更多重点单位机密信息 入侵更多重要网络资产系统管理员被攻击者控制系统管理员访问 水坑攻击： 触发IE 0day漏洞攻击并植入木马 内部系统后台页面 重点资产1C2 重点资产2 重点资产N系统管理员 （受害者管理的更多重点资产）5 4 1 62 3经过奇安信红雨滴团队对监控到的受害网络资产、 攻击行为、 恶意代码的详细分析和推理后认为：DarkHotel APT组织本次针对多个国内重要机构的内部系统管理页面植入IE 0day漏洞以执行水坑攻击， 进而控制系统管理员的计算机以实施更广泛的入侵及横向移动。 我们还原的整个攻击流程如下： 除了上述已经定性的APT攻击活动， 还有一系列移动端已知漏洞也被各类国家级APT团伙用于定向攻击： 南亚次大陆地区的响尾蛇组织被发现利用 CVE-2019-2215 漏洞针对安卓终端目标用户实施移动端的 APT 攻击；iOS 邮件客户端爆出远程代码执行漏洞， 已经被在野利用长达两年， 漏洞不需要用户任何点击， 只要给用户发送一封电子邮件， 甚至邮件还在下载过程中， 就能触发漏洞攻击， 最后可达到获取 iPhone 数据的目的；安卓特性漏洞 StrandHogg 2.0，与 StrandHogg 1.0 一样已经被攻击者在野利用。 一旦在设备上安装利用了 StrandHogg 2.0 漏洞的 APP， 受害者打开 APP 并输入凭证后， 攻击者即可通过该恶意 APP 访问目标手机的短信消息和照片，并通过摄像头和录音监听目标。 ( 如下图示意 )第一部分 上半年全球APT威胁态势 / 全球高级持续性威胁（APT）2020年中报告 04同时， 在使用漏洞方面， 不同国家级APT组织存在不同的利用漏洞的方式， 而在2020年上半年， 奇安信威胁情报中心独家披露了关于某国网络军火商， 制作的一套IOT僵尸网络框架。右图为整个僵尸网络的网络拓扑图， 该僵尸网络采用了通过VPN集群和Tor节点混合的流量回传机制， 并将最终的数据回连到唯一一台用于接收所有数据的主机， 该主机通过VPN接入最左侧的APM服务器环境， 即 Apache+PH-P+MySQL。 整个僵尸网络的网络拓扑图图引自：https://promon.co/strandhogg-2-0/ 第一部分 上半年全球APT威胁态势 / 全球高级持续性威胁（APT）2020年中报告 05其主要相关模块如下：· 暴力破解模块· 快速网络扫描模块:· 多平台载荷部署模块 三、 远程办公带来的新的 APT 威胁攻击面 新冠疫情在全球范围的蔓延， 导致很多公司和机构采用了远程办公的方式， 其通常依赖于 VPN 应用接入企业内部网络， 这样也