全球高级持续性威胁(APT)2018年总结报告
Contents
全球高级持续性威胁(APT)
2018 年报告
发布机构:360 威胁情报中心
2019 年 1 月 2 日
序
言
Threat Actor(即威胁行为体),在威胁情报中用于描述实施网络攻击
威胁的个人、团伙或组织以达到其恶意的动机和意图。
威胁行为体,是为了标记对实施网络威胁攻击的人、团伙或者组织而
建立的虚拟实体。通常将攻击者或其实施的攻击行动赋予独有的代号,以
便于从广泛的攻击活动中识别、区分归属于该攻击来源相关的并进行持续
性的威胁活动跟踪。以攻击者的维度持续跟踪威胁活动,持续完善攻击者
画像的拼图,能够更好的完成挖掘威胁攻击背后的动机,追溯攻击真实的
来源,研究攻击技术的演变,提供更有效的安全防御策略。
结合 2018 年全年国内外各个安全研究机构、安全厂商披露的威胁活
动,以及近几年来历史披露的高级持续性威胁活动,通常 APT 组织和网络
犯罪组织的威胁尤为关注,其往往能够对行业、企业和机构造成更严重的
影响,并且更加难于发现和防御。
APT 组织,通常具有国家或情报机构背景,或者专门实施网络间谍活
动,其攻击动机主要是长久性的情报刺探、收集和监控,也会实施如牟利
和破坏为意图的攻击威胁。APT 组织主要攻击的目标包括政府、军队、外
交、国防外,也覆盖科研、能源以及国家基础设施性质的行业和产业。
网络犯罪组织主要以牟取经济利益而实施攻击活动,近年来,数个活
跃的网络犯罪组织也呈现出明确的组织化特点,并且使用其自身特色的攻
击工具和战术技术。网络犯罪组织对于如金融、银行、电子商务、餐饮零
售等行业带来了巨大的资金损失和业务安全风险。
本报告是 360 威胁情报中心基于收集的公开威胁情报和内部产生的威
胁情报数据,对 2018 年全年高级持续性威胁相关研究的总结报告,主要
内容分成三个部分:
1) 高级持续性威胁背后的攻击者
结合全年国内外各个安全研究机构、安全厂商披露的高级威胁活动报
告内容的统计分析,对 2018 年高级威胁类攻击态势进行总结。
2) 针对中国境内的 APT 组织和威胁
基于 360 威胁情报中心内部对多个针对中国境内的 APT 组织持续跟
踪,包括海莲花、摩诃草、Darkhotel、蓝宝菇、毒云藤等组织都在 2018
年对中国境内目标机构和人员频繁实施攻击活动,这里对上述组织相关攻
击活动进行回顾。
3) APT 威胁的现状和挑战
最后总结 APT 威胁的现状和应对 APT 威胁所面临的挑战,并对 APT
威胁的变化趋势进行合理的预测。
主要观点
网络间谍活动变得更加普遍化,这对高级持续性威胁活动的持续跟踪
带来一些挑战。我们需要更加明确的区分和识别高级持续性威胁攻击,
以及能够明确来源归属的攻击组织。而对于不能明确归属的 APT 威
胁,需要依赖于持续的威胁跟踪和更多的数据证据佐证。
APT 威胁的归属问题正在变得更加明显,其原因可能包括攻击者不断
变化的攻击武器和使用更加匿名化的控制基础设施,以及引入的 false
flag 或刻意模仿的攻击战术技术,一些成熟而完善的公开渗透工具给
攻击者带来了更好的选择。
2018 年,360 公开披露了两个新的针对中国境内的 APT 组织,以及
多个针对中国境内频繁的 APT 威胁活动,可以看到随着我国在国际
形势中的日益发展,地缘政治、外交形势等立场下高级持续性威胁将
变得更加严峻。
2018 年多次曝光的在野 0 day 攻击的发现,展现了 APT 攻击者的技
术能力储备和提升,威胁的攻击和防御变得更加白热化,APT 威胁的
防御和响应的时效性变得尤为重要。
威胁攻击者也在发掘一些新的攻击方式,也包括使用了部分“陈旧而
古老”的技术特性,绕过或逃避威胁检测机制从而实施攻击,结合目
标人员的安全意识弱点往往也能够取得不错的攻击效果。
360 威胁情报中心在 2018 年监测到的高级持续性威胁相关公开报告
总共 478 篇,其中下半年报告披露的频次和数量明显高于上半年。从
公开报告的发布渠道统计来看,2018 年国内安全厂商加大了对高级
威胁攻击事件及相关攻击者的披露频率,其中 360 来源披露的高级威
胁类报告数量处于首位,并且明显超过其他安全厂商。
在对 APT 威胁攻击的持续跟踪过程中,通常会将明确的 APT 攻击
行动或攻击组织进行命名,用于对攻击背后实际的攻击组织映射成一
个虚拟的代号,以便更好的区分和识别具体来源的攻击活动。历史披
露的明确的 APT 攻击组织至少有 80 个。
截至目前,360 威胁情报中心明确的针对中国境内实施攻击活动的,
并且依旧活跃的 公开 APT 组织,包括海莲花,摩诃草,蔓灵花,
Darkhotel,Group 123,毒云藤和蓝宝菇,其中毒云藤和蓝宝菇是 360
在 2018 年下半年公开披露并命名的 APT 组织。
APT 威胁也不再是 APT 组织与安全厂商之间独有的“猫和老鼠”的
游戏,还作为国家与国家之间博弈以及外交舆论层面的手段。例如美
国司法部在 2018 年就多次公开指控了被认为是他国黑客成员对其本
土的网络威胁活动,最为详细的就是指控朝鲜黑客 PARK JIN HYOK
历史涉及的攻击活动,而过去影子经纪人曝光的 NSA 网络武器库资
料,维基解密曝光的 Vault 7 项目以及卡巴斯基披露的 Slingshot 攻击
行动都被认为与美国本土情报机构有关。
关键词:APT、海莲花、毒云藤、蓝宝菇
目
录
第一章
公开披露的全球高级持续性威胁....................................................... 1
一、
数量和来源......................................................................................... 1
二、
受害目标的行业与地域...................................................................... 2
三、
威胁攻击者......................................................................................... 4
第二章
高级持续性威胁背后的攻击者 .......................................................... 6
一、
活跃的国家背景组织.......................................................................... 6
二、
值得关注的 APT 攻击者 ..................................................................... 9
第三章
针对中国境内的 APT 组织和威胁 .....................................................18
一、
海莲花(APT-C-00)..........................................................................18
二、
毒云藤(APT-C-01).........................................................................19
三、
蓝宝菇(APT-C-12).........................................................................20
四、
DARKHOTEL(APT-C-06) ......................................................................22
第四章
APT 威胁的现状和挑战 .................................................................23
一、
多样化的攻击投放方式.....................................................................23
二、
0DAY 漏洞和在野利用攻击 ................................................................26
三、
APT 威胁活动归属面临的挑战 .........................................................27
四、
APT 威胁的演变趋势.........................................................................28
总
结 ...............................................................................................................29
附录 1
360 威胁情报中心 .............................................................................30
附录 2
360 追日团队(HELIOS TEAM) ........................................................31
附录 3
360 高级威胁应对团队......................................................................31
附录 参考链接 ..................................................................................................32
第一章 公开披露的全球高级持续性威胁
360 威胁情报中心在 2018 年持续对高级持续性威胁相关的公开报告进
行收集,其中包括但不限于以下类型。
APT 攻击团伙报告、APT 攻击行动报告、疑似 APT 的定向攻击事件、
和 APT 攻击相关的恶意代码和漏洞分析,以及我们认为需要关注的网络犯
罪团伙及其相关活动。
国内外安全厂商、安全研究人员通常会对高级持续性威胁活动涉及的攻
击团伙、攻击活动进行命名,并以"Actor / Group / Gang"等对威胁背后的攻
击者进行称谓,其中包括了明确的 …
2018 年报告
发布机构:360 威胁情报中心
2019 年 1 月 2 日
序
言
Threat Actor(即威胁行为体),在威胁情报中用于描述实施网络攻击
威胁的个人、团伙或组织以达到其恶意的动机和意图。
威胁行为体,是为了标记对实施网络威胁攻击的人、团伙或者组织而
建立的虚拟实体。通常将攻击者或其实施的攻击行动赋予独有的代号,以
便于从广泛的攻击活动中识别、区分归属于该攻击来源相关的并进行持续
性的威胁活动跟踪。以攻击者的维度持续跟踪威胁活动,持续完善攻击者
画像的拼图,能够更好的完成挖掘威胁攻击背后的动机,追溯攻击真实的
来源,研究攻击技术的演变,提供更有效的安全防御策略。
结合 2018 年全年国内外各个安全研究机构、安全厂商披露的威胁活
动,以及近几年来历史披露的高级持续性威胁活动,通常 APT 组织和网络
犯罪组织的威胁尤为关注,其往往能够对行业、企业和机构造成更严重的
影响,并且更加难于发现和防御。
APT 组织,通常具有国家或情报机构背景,或者专门实施网络间谍活
动,其攻击动机主要是长久性的情报刺探、收集和监控,也会实施如牟利
和破坏为意图的攻击威胁。APT 组织主要攻击的目标包括政府、军队、外
交、国防外,也覆盖科研、能源以及国家基础设施性质的行业和产业。
网络犯罪组织主要以牟取经济利益而实施攻击活动,近年来,数个活
跃的网络犯罪组织也呈现出明确的组织化特点,并且使用其自身特色的攻
击工具和战术技术。网络犯罪组织对于如金融、银行、电子商务、餐饮零
售等行业带来了巨大的资金损失和业务安全风险。
本报告是 360 威胁情报中心基于收集的公开威胁情报和内部产生的威
胁情报数据,对 2018 年全年高级持续性威胁相关研究的总结报告,主要
内容分成三个部分:
1) 高级持续性威胁背后的攻击者
结合全年国内外各个安全研究机构、安全厂商披露的高级威胁活动报
告内容的统计分析,对 2018 年高级威胁类攻击态势进行总结。
2) 针对中国境内的 APT 组织和威胁
基于 360 威胁情报中心内部对多个针对中国境内的 APT 组织持续跟
踪,包括海莲花、摩诃草、Darkhotel、蓝宝菇、毒云藤等组织都在 2018
年对中国境内目标机构和人员频繁实施攻击活动,这里对上述组织相关攻
击活动进行回顾。
3) APT 威胁的现状和挑战
最后总结 APT 威胁的现状和应对 APT 威胁所面临的挑战,并对 APT
威胁的变化趋势进行合理的预测。
主要观点
网络间谍活动变得更加普遍化,这对高级持续性威胁活动的持续跟踪
带来一些挑战。我们需要更加明确的区分和识别高级持续性威胁攻击,
以及能够明确来源归属的攻击组织。而对于不能明确归属的 APT 威
胁,需要依赖于持续的威胁跟踪和更多的数据证据佐证。
APT 威胁的归属问题正在变得更加明显,其原因可能包括攻击者不断
变化的攻击武器和使用更加匿名化的控制基础设施,以及引入的 false
flag 或刻意模仿的攻击战术技术,一些成熟而完善的公开渗透工具给
攻击者带来了更好的选择。
2018 年,360 公开披露了两个新的针对中国境内的 APT 组织,以及
多个针对中国境内频繁的 APT 威胁活动,可以看到随着我国在国际
形势中的日益发展,地缘政治、外交形势等立场下高级持续性威胁将
变得更加严峻。
2018 年多次曝光的在野 0 day 攻击的发现,展现了 APT 攻击者的技
术能力储备和提升,威胁的攻击和防御变得更加白热化,APT 威胁的
防御和响应的时效性变得尤为重要。
威胁攻击者也在发掘一些新的攻击方式,也包括使用了部分“陈旧而
古老”的技术特性,绕过或逃避威胁检测机制从而实施攻击,结合目
标人员的安全意识弱点往往也能够取得不错的攻击效果。
360 威胁情报中心在 2018 年监测到的高级持续性威胁相关公开报告
总共 478 篇,其中下半年报告披露的频次和数量明显高于上半年。从
公开报告的发布渠道统计来看,2018 年国内安全厂商加大了对高级
威胁攻击事件及相关攻击者的披露频率,其中 360 来源披露的高级威
胁类报告数量处于首位,并且明显超过其他安全厂商。
在对 APT 威胁攻击的持续跟踪过程中,通常会将明确的 APT 攻击
行动或攻击组织进行命名,用于对攻击背后实际的攻击组织映射成一
个虚拟的代号,以便更好的区分和识别具体来源的攻击活动。历史披
露的明确的 APT 攻击组织至少有 80 个。
截至目前,360 威胁情报中心明确的针对中国境内实施攻击活动的,
并且依旧活跃的 公开 APT 组织,包括海莲花,摩诃草,蔓灵花,
Darkhotel,Group 123,毒云藤和蓝宝菇,其中毒云藤和蓝宝菇是 360
在 2018 年下半年公开披露并命名的 APT 组织。
APT 威胁也不再是 APT 组织与安全厂商之间独有的“猫和老鼠”的
游戏,还作为国家与国家之间博弈以及外交舆论层面的手段。例如美
国司法部在 2018 年就多次公开指控了被认为是他国黑客成员对其本
土的网络威胁活动,最为详细的就是指控朝鲜黑客 PARK JIN HYOK
历史涉及的攻击活动,而过去影子经纪人曝光的 NSA 网络武器库资
料,维基解密曝光的 Vault 7 项目以及卡巴斯基披露的 Slingshot 攻击
行动都被认为与美国本土情报机构有关。
关键词:APT、海莲花、毒云藤、蓝宝菇
目
录
第一章
公开披露的全球高级持续性威胁....................................................... 1
一、
数量和来源......................................................................................... 1
二、
受害目标的行业与地域...................................................................... 2
三、
威胁攻击者......................................................................................... 4
第二章
高级持续性威胁背后的攻击者 .......................................................... 6
一、
活跃的国家背景组织.......................................................................... 6
二、
值得关注的 APT 攻击者 ..................................................................... 9
第三章
针对中国境内的 APT 组织和威胁 .....................................................18
一、
海莲花(APT-C-00)..........................................................................18
二、
毒云藤(APT-C-01).........................................................................19
三、
蓝宝菇(APT-C-12).........................................................................20
四、
DARKHOTEL(APT-C-06) ......................................................................22
第四章
APT 威胁的现状和挑战 .................................................................23
一、
多样化的攻击投放方式.....................................................................23
二、
0DAY 漏洞和在野利用攻击 ................................................................26
三、
APT 威胁活动归属面临的挑战 .........................................................27
四、
APT 威胁的演变趋势.........................................................................28
总
结 ...............................................................................................................29
附录 1
360 威胁情报中心 .............................................................................30
附录 2
360 追日团队(HELIOS TEAM) ........................................................31
附录 3
360 高级威胁应对团队......................................................................31
附录 参考链接 ..................................................................................................32
第一章 公开披露的全球高级持续性威胁
360 威胁情报中心在 2018 年持续对高级持续性威胁相关的公开报告进
行收集,其中包括但不限于以下类型。
APT 攻击团伙报告、APT 攻击行动报告、疑似 APT 的定向攻击事件、
和 APT 攻击相关的恶意代码和漏洞分析,以及我们认为需要关注的网络犯
罪团伙及其相关活动。
国内外安全厂商、安全研究人员通常会对高级持续性威胁活动涉及的攻
击团伙、攻击活动进行命名,并以"Actor / Group / Gang"等对威胁背后的攻
击者进行称谓,其中包括了明确的 …