360研究報(bào)告-2021年上半年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告-61正式版

2021上半年全球高級(jí)持續(xù)性威脅研究報(bào)告RESEARCHREPORT攻擊概覽2021上半年活躍組織2021上半年攻擊態(tài)勢(shì)總結(jié)關(guān)鍵核心戰(zhàn)場(chǎng)態(tài)勢(shì)contents012021上半年攻擊概覽022021上半年活躍組織南亞?wèn)|亞?wèn)|南亞?wèn)|歐中東032021上半年攻擊態(tài)勢(shì)總結(jié)全球疫情嚴(yán)峻形勢(shì)下針對(duì)我國(guó)的攻擊持續(xù)活躍APT攻擊緊跟時(shí)事熱點(diǎn)仿冒目標(biāo)單位郵箱系統(tǒng)集中釣魚(yú)攻擊頻發(fā)2021上半年0day漏洞攻擊頻發(fā)勒索攻擊APT化，高級(jí)威脅技術(shù)、定向攻擊手段層出不窮針對(duì)安全研究人員的社會(huì)工程學(xué)定向攻擊contents04關(guān)鍵核心戰(zhàn)場(chǎng)態(tài)勢(shì)政府、科研是重災(zāi)區(qū)，醫(yī)療、媒體威脅凸顯城市數(shù)字化轉(zhuǎn)型下APT威脅加劇ICT供應(yīng)鏈攻擊威脅進(jìn)一步升級(jí)針對(duì)高等學(xué)校的攻擊活動(dòng)實(shí)則瞄準(zhǔn)了我國(guó)國(guó)防軍工和科技創(chuàng)新體系05056/附錄part01RESEARCHREPORT2021上半年攻擊概覽2021年上半年，全球高級(jí)持續(xù)性威脅（APT）整體形勢(shì)依然嚴(yán)峻，發(fā)現(xiàn)和披露的APT攻擊活動(dòng)較去年同期大幅增加。上半年全球公開(kāi)報(bào)告數(shù)量492篇，其中披露的攻擊活動(dòng)涉及APT組織90個(gè)，首次披露的組織17個(gè)，無(wú)論報(bào)告數(shù)量還是組織數(shù)量都已超去年同期。從全球范圍看，APT攻擊活動(dòng)還是重點(diǎn)關(guān)注政治、經(jīng)濟(jì)等時(shí)事熱點(diǎn)。目標(biāo)主要針對(duì)政府、國(guó)防軍工、科研等行業(yè)領(lǐng)域。今年全球疫情仍然肆虐，局部地區(qū)疫情形勢(shì)相比去年甚至更加嚴(yán)峻，圍繞“新冠疫情”開(kāi)展的相關(guān)攻擊活動(dòng)繼續(xù)處于高位。上半年攻擊活動(dòng)中利用的0day漏洞數(shù)量已超過(guò)去年全年總和，達(dá)到歷史新高。上半年爆發(fā)的針對(duì)美國(guó)最大燃油管道運(yùn)營(yíng)商和愛(ài)爾蘭衛(wèi)生服務(wù)部門在內(nèi)的一系列針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的勒索攻擊事件，體現(xiàn)出勒索攻擊不斷APT化的發(fā)展趨勢(shì)。勒索威脅逐漸上升到事關(guān)國(guó)家安全的層面，已成為全球網(wǎng)絡(luò)安全的共同挑戰(zhàn)。今年上半年，我國(guó)率先進(jìn)入疫情后全面經(jīng)濟(jì)復(fù)蘇和建設(shè)階段，在此新形勢(shì)下，境外APT組織針對(duì)我國(guó)的攻擊持續(xù)活躍，較去年同期大幅上升。依托強(qiáng)大的安全能力，360在過(guò)去累計(jì)發(fā)現(xiàn)了46個(gè)其他國(guó)家背景的APT組織，監(jiān)測(cè)到3600多次對(duì)中國(guó)的國(guó)家級(jí)網(wǎng)絡(luò)攻擊。上半年，360捕獲到對(duì)中國(guó)地區(qū)發(fā)起攻擊涉及的組織12個(gè)，其中首次發(fā)現(xiàn)的組織2個(gè)：蕪瓊洞、偽獵者。針對(duì)中國(guó)地區(qū)的APT攻擊事件統(tǒng)計(jì)結(jié)果顯示：境外APT組織依然針對(duì)我國(guó)政府、科研和國(guó)防軍工等領(lǐng)域重點(diǎn)目標(biāo)，其中來(lái)自于東亞、南亞和東南亞的APT組織針對(duì)我國(guó)攻擊最為活躍。對(duì)向教育領(lǐng)域高等學(xué)校的攻擊活動(dòng)進(jìn)行分析發(fā)現(xiàn)，攻擊瞄準(zhǔn)的目標(biāo)實(shí)則是我國(guó)國(guó)防軍工和科技創(chuàng)新體系，反映出APT組織通過(guò)對(duì)關(guān)鍵行業(yè)橫向領(lǐng)域的攻擊和滲透，從而進(jìn)一步實(shí)現(xiàn)對(duì)目標(biāo)行業(yè)的攻擊。在南亞、東南亞地區(qū)疫情反彈期間，針對(duì)醫(yī)療衛(wèi)生、媒體行業(yè)的攻擊凸顯。另外，針對(duì)城市區(qū)域性的攻擊威脅持續(xù)不斷，加以萬(wàn)物互聯(lián)下，智慧城市的攻擊面不斷擴(kuò)大，城市數(shù)字化轉(zhuǎn)型下APT威脅加劇。ICT供應(yīng)鏈攻擊威脅進(jìn)一步升級(jí)，針對(duì)中介招標(biāo)代理機(jī)構(gòu)的攻擊愈發(fā)頻繁。今年是“十四五”開(kāi)局之年，我國(guó)將開(kāi)啟全面建設(shè)社會(huì)主義現(xiàn)代化國(guó)家新征程、向第二個(gè)百年奮斗目標(biāo)進(jìn)軍，隨著數(shù)字經(jīng)濟(jì)進(jìn)入新的發(fā)展階段，我國(guó)網(wǎng)絡(luò)安全建設(shè)面臨著新的挑戰(zhàn)和不穩(wěn)定因素。此次疫情加速了全球政治經(jīng)濟(jì)格局重塑，未來(lái)在后疫情時(shí)代，全球經(jīng)濟(jì)逐步進(jìn)入復(fù)蘇階段。在地緣政治、治理體系潛在風(fēng)險(xiǎn)等因素的影響下，加之世界經(jīng)濟(jì)重心東移趨勢(shì)日顯，勢(shì)必會(huì)導(dǎo)致大國(guó)博弈更加激烈。在此新形勢(shì)下，針對(duì)我國(guó)的國(guó)家級(jí)網(wǎng)絡(luò)攻擊，APT組織的數(shù)量和活躍程度以及攻擊技戰(zhàn)術(shù)的復(fù)雜度，或?qū)⒊^(guò)以往。國(guó)家級(jí)的高級(jí)威脅防御領(lǐng)域更加需要包含360政企安全在內(nèi)的廣大網(wǎng)絡(luò)安全企業(yè)和從業(yè)者同心協(xié)力，為國(guó)家各項(xiàng)基礎(chǔ)設(shè)施建設(shè)保駕護(hù)航，守衛(wèi)社會(huì)主義現(xiàn)代化建設(shè)成果，為堅(jiān)定不移建設(shè)制造強(qiáng)國(guó)、質(zhì)量強(qiáng)國(guó)、網(wǎng)絡(luò)強(qiáng)國(guó)、數(shù)字中國(guó)貢獻(xiàn)力量。part02RESEARCHREPORT2021上半年活躍組織360高級(jí)威脅研究分析中心監(jiān)控發(fā)現(xiàn)，2021年上半年全球活躍的APT組織有90個(gè)，其中有17個(gè)是首次披露。針對(duì)我國(guó)攻擊活躍的APT組織有12個(gè)，其中新發(fā)現(xiàn)暫未被其他廠商披露的APT組織有兩個(gè)：APT-C-59（蕪瓊洞）、APT-C-60（偽獵者）。毒云藤、蔓靈花和海蓮花這三個(gè)組織針對(duì)我國(guó)的攻擊活動(dòng)最為活躍，長(zhǎng)期持續(xù)攻擊我國(guó)多個(gè)行業(yè)領(lǐng)域重點(diǎn)目標(biāo)。Darkhotel、響尾蛇組織相比去年攻擊頻次有所減弱，但呈現(xiàn)階段性集中攻擊后快速隱匿現(xiàn)象。另外比如CNC、新組織蕪瓊洞短期集中攻擊特性更為明顯，尤其在其關(guān)注的熱點(diǎn)事件先后活動(dòng)最為頻繁?；谙嚓P(guān)攻擊頻次、被攻擊單位數(shù)量、受影響設(shè)備數(shù)量、技戰(zhàn)術(shù)迭代頻次等多個(gè)指標(biāo)，我們對(duì)今年針對(duì)中國(guó)地區(qū)發(fā)起攻擊的APT組織進(jìn)行綜合評(píng)估，得出APT組織的攻擊活躍度排名。排名組織名稱涉及行業(yè)TOP1APT-C-01（毒云藤）政府、教育、科研等TOP2APT-C-08（蔓靈花）教育、軍工、科研等TOP3APT-C-00（海蓮花）ICT供應(yīng)商、政府、教育等TOP4APT-C-06（Darkhotel）貿(mào)易、科研、媒體等TOP5APT-C-59（蕪瓊洞）媒體、科研、醫(yī)療等TOP6APT-C-48（CNC）教育、科研TOP7APT-C-55（Kimsuky）政府TOP8APT-C-60（偽獵者）貿(mào)易、政府TOP9APT-C-24（響尾蛇）政府、醫(yī)療、建筑TOP10APT-C-47（旺刺）貿(mào)易、制造、建筑2021年上半年針對(duì)中國(guó)地區(qū)TOP10境外APT組織RESEARCHREPORT1.南亞南亞地區(qū)APT組織常年活躍，針對(duì)我國(guó)和其他南亞地區(qū)國(guó)家，主要圍繞地緣政治相關(guān)。從去年下半年開(kāi)始南亞APT組織攻擊活動(dòng)不斷活躍，相關(guān)上升趨勢(shì)一直持續(xù)至2021年5月初，尤其今年第一季度相關(guān)攻擊較去年大幅增加，主要涉及教育、政府和國(guó)防軍工多個(gè)領(lǐng)域。而從5月之后攻擊有所減緩，但陸續(xù)出現(xiàn)多起針對(duì)我國(guó)醫(yī)療衛(wèi)生機(jī)構(gòu)的攻擊活動(dòng)，我們推測(cè)近期攻擊活動(dòng)減緩和針對(duì)醫(yī)療行業(yè)更具針對(duì)性，可能是由于4月份，南亞地區(qū)疫情再次爆發(fā)有關(guān)。今年上半年蔓靈花組織針對(duì)我國(guó)的攻擊活動(dòng)最為活躍，相比之下響尾蛇、CNC攻擊頻次較低但更具針對(duì)性。除蔓靈花以外，肚腦蟲(chóng)、透明部落、幼象等其他組織主要針對(duì)巴基斯坦、印度等南亞國(guó)家。RESEARCHREPORT01.APT-C-08（蔓靈花）從去年9月份開(kāi)始出現(xiàn)的chm文檔攻擊方式中，蔓靈花會(huì)通過(guò)chm文件中內(nèi)嵌的腳本創(chuàng)建計(jì)劃任務(wù)周期性的從遠(yuǎn)程服務(wù)器加載msi文件。通過(guò)該方式達(dá)成無(wú)文件的Downloader,加大安全人員分析難度，提高其攻擊流程結(jié)構(gòu)的隱蔽性,此類攻擊方式在今年更加主流。除魚(yú)叉郵件附件投遞之外，更多還是仿冒目標(biāo)單位郵箱系統(tǒng)的釣魚(yú)網(wǎng)站攻擊，其占比達(dá)到7成。去年年底蔓靈花組織積極探索的一種新型供應(yīng)鏈攻擊，今年已成常態(tài)主流。這類攻擊目標(biāo)并不是供應(yīng)商和最終目標(biāo)需求方，而是針對(duì)起到中介服務(wù)的招標(biāo)代理機(jī)構(gòu)。在鎖定重點(diǎn)目標(biāo)后，蔓靈花組織進(jìn)一步會(huì)不惜采用0day漏洞進(jìn)行滲透攻擊。今年上半年披露的0day漏洞攻擊已有兩起，今年2月，國(guó)內(nèi)安全廠商安恒信息年初披露了該組織2020年12月的攻擊活動(dòng)中1，使用了WINDOWS內(nèi)核提權(quán)0day漏洞（CVE-2021-1732）。另外在廣泛使用的仿冒目標(biāo)郵箱系統(tǒng)的釣魚(yú)攻擊中，蔓靈花除了克隆目標(biāo)郵件系統(tǒng)以外，還會(huì)使用某一文檔文件作為背景。當(dāng)?shù)卿洺晒髣t跳轉(zhuǎn)至該文檔文件的頁(yè)面，使得釣魚(yú)網(wǎng)站更加難以辨別。圖1圖2圖1.蔓靈花-誘餌文檔作為背景實(shí)例1 圖2.蔓靈花-誘餌文檔作為背景實(shí)例2RESEARCHREPORT02.APT-C-48（CNC）2021年4月，我們捕獲到CNC組織針對(duì)我國(guó)重點(diǎn)單位發(fā)起了新一輪的攻擊2。該組織上次攻擊行動(dòng)還是在去年年初國(guó)內(nèi)疫情爆發(fā)期間，針對(duì)我國(guó)醫(yī)療行業(yè)發(fā)起集中攻擊。值得注意的是，蟄伏許久的CNC組織，在今年6月中旬我國(guó)航天時(shí)事熱點(diǎn)前后，針對(duì)我國(guó)航空航天領(lǐng)域相關(guān)的重點(diǎn)單位突然發(fā)起集中攻擊。釣魚(yú)網(wǎng)站\仿冒網(wǎng)站githubA賬號(hào)githubB賬號(hào)誘導(dǎo)下載并執(zhí)行上傳用戶信息獲取服務(wù)器信息下載并執(zhí)行 從github下載攻擊組件flashplayer32pp_xa_acr_install.exe dateA577N.exe RATCNC組織今年最新的GithubJoint攻擊流程如圖所示，整個(gè)攻擊過(guò)程中利用多個(gè)github賬戶來(lái)完成樣本下發(fā)、C&C更新、用戶信息記錄等功能。另外相關(guān)GitHub賬號(hào)是在4月份投放到實(shí)際攻擊活動(dòng)中，但是早在1、2月份已進(jìn)行多次測(cè)試。GithubJoint攻擊流程RESEARCHREPORT最終駐留的惡意程序是基于GRAT2開(kāi)源遠(yuǎn)控，進(jìn)行大量修改后的定制化版本。其中CNC小組對(duì)部分指令編碼進(jìn)行了修改。使用了多個(gè)國(guó)家的語(yǔ)言來(lái)進(jìn)行替換，推測(cè)CNC組織成員有可能是想在規(guī)避GRAT2的指令特征的同時(shí)，混淆安全分析人員對(duì)CNC組織幕后所屬國(guó)家的判斷。其中兩者部分指令對(duì)比如下：程序內(nèi)指令使用語(yǔ)言對(duì)應(yīng)翻譯GRAT2原指令功能herunterladen德語(yǔ)downloaddownload上傳指定路徑文件的數(shù)據(jù)到服務(wù)器hosutomei日語(yǔ)hostnamehostname獲取設(shè)備計(jì)算機(jī)名hochladen德語(yǔ)uploadupload下載文件到指定路徑sortie法語(yǔ)exitexit退出程序ekranokopija立陶宛文screenshotscreenshot上傳屏幕截圖chisono意大利語(yǔ)whoIamwhoami獲取設(shè)備用戶名fearann愛(ài)爾蘭語(yǔ)domaindomain獲取設(shè)備域FQDNelenco意大利語(yǔ)listps遍歷獲取當(dāng)前進(jìn)程信息CNC惡意組件部分指令RESEARCHREPORT03.APT-C-35（肚腦蟲(chóng)）肚腦蟲(chóng)組織今年上半年依然主要針對(duì)巴基斯坦政府、國(guó)防軍工的重點(diǎn)目標(biāo)發(fā)起攻擊。今年6月我們披露了該組織最新的后門框架3，根據(jù)這些后門框架使用的組件名，將其命名為“Jaca“框架。在該框架中通過(guò)Downloader與服務(wù)器交互下載并調(diào)用其他組件。并且由于駐留樣本隱蔽性極強(qiáng)，我們發(fā)現(xiàn)往往肚腦蟲(chóng)對(duì)攻擊成功的設(shè)備存在較強(qiáng)的控制力。相比往年該組織使用的后門框架，這套框架采用了函數(shù)動(dòng)態(tài)導(dǎo)入+函數(shù)名加密的方式來(lái)隱藏調(diào)用的API函數(shù)，并對(duì)多數(shù)使用到的字符串和數(shù)據(jù)進(jìn)行加密，暴露的信息更少。而后的框架版本更是在路徑和文件名上采用了更加貼合windows系統(tǒng)的命名，在欺騙性上得到極大的提升。2021.6-至今2020.11-2021.52019.12-2020.10YTY框架功能簡(jiǎn)述igfcServicee.dllJacaPM.dllNumberAlgo.dllBoothelp.exe下載組件并執(zhí)行winlogup.dllJacaUL.dllCOMEvent.dllabode.exe功能組件相關(guān)文件上傳winlogss.dllJacaSP.dllScnPoint.dlldspcheck.exe截圖工具winlogdfl.dllJacaDFIter.dllDormode.dllvstservice.exe文件搜集winlogkl.dllJacaKL.dllFrameCordi.dllmdriver.exe鍵盤(pán)、鼠標(biāo)消息記錄winlogbw.dllJacaBD.dllSRCPolicy.dll瀏覽器敏感信息竊取winlogus.dllJacaUSD.dll移動(dòng)磁盤(pán)文件搜集肚腦蟲(chóng)歷年使用的后門框架匯總RESEARCHREPORT04.其他APT-C-24（響尾蛇），今年的攻擊活躍程度較去年有一定幅度的減弱，相關(guān)攻擊活動(dòng)中依然延續(xù)了去年的攻擊手法，通過(guò)魚(yú)叉郵件投遞lnk快捷方式或帶有公式編輯器漏洞的rtf文檔文件來(lái)完成攻擊活動(dòng)。但攻擊者反偵察意識(shí)逐步提高，攻擊隱蔽性有明顯加強(qiáng)，從C2有效時(shí)長(zhǎng)、URL格式變化、HTA組件替換為.net模塊反射加載等都有所變化，其中比如響尾蛇組織開(kāi)放的下載鏈接有效時(shí)長(zhǎng)，已經(jīng)縮短至幾小時(shí)甚至幾十分鐘，這在一定程度上加大了安全研判人員的進(jìn)一步追蹤溯源的難度。APT-C-56（透明部落），長(zhǎng)期針對(duì)周邊國(guó)家和地區(qū)，主要是印度、阿富汗等相關(guān)政府、軍事進(jìn)行定向攻擊活動(dòng)。今年該組織攻擊活動(dòng)持續(xù)活躍，4月，我們披露了該組織利用新冠疫苗疫情熱點(diǎn)事件針對(duì)印度醫(yī)療行業(yè)的定向攻擊活動(dòng)4，6月，我們披露了該組織針對(duì)印度軍事相關(guān)目標(biāo)的攻擊活動(dòng)5，本次攻擊活動(dòng)使用了一種新的Android惡意軟件，根據(jù)惡意軟件包結(jié)構(gòu)我們將其命名為PJobRAT，PJobRAT主要偽裝成印度婚戀交友和即時(shí)通訊軟件。通過(guò)對(duì)同源樣本進(jìn)行分析，我們推測(cè)本次攻擊時(shí)間從2021年1月開(kāi)始，3月至5月攻擊最為頻繁。RESEARCHREPORT2.東亞今年上半年?yáng)|亞地區(qū)眾多APT組織，針對(duì)我國(guó)的攻擊活動(dòng)最為頻繁，其中以毒云藤為首，長(zhǎng)期大量使用釣魚(yú)郵件攻擊我國(guó)多個(gè)行業(yè)領(lǐng)域重點(diǎn)單位，而Darkhotel、蕪瓊洞和偽獵者攻擊活動(dòng)并未像毒云藤那樣頻繁，但攻擊更具集中針對(duì)性。蕪瓊洞和偽獵者這兩個(gè)組織是我們今年首次發(fā)現(xiàn)，基于相關(guān)技戰(zhàn)術(shù)和武器資源我們初步判定是源于朝鮮半島地區(qū)。Lazarus組織上半年的攻擊活動(dòng)依然積極活躍，尤其是利用社交媒體針對(duì)安全研究人員的攻擊。Kimsuky、Scarcruft上半年的攻擊也非常活躍，主要圍繞朝韓關(guān)系、新冠疫情、核問(wèn)題等針對(duì)政府、媒體等目標(biāo)。01.APT-C-01（毒云藤）毒云藤組織今年上半年的攻擊異?；钴S，較去年明顯上升，是針對(duì)我國(guó)攻擊活動(dòng)最為頻繁的組織。該組織長(zhǎng)期針對(duì)國(guó)內(nèi)政府、軍工、教育等領(lǐng)域的重要機(jī)構(gòu)實(shí)施網(wǎng)絡(luò)間諜攻擊活動(dòng)的東亞APT團(tuán)伙，且攻擊活動(dòng)范圍基本僅限于我國(guó)，其最早的攻擊活動(dòng)可以追溯到2007年。上半年的攻擊活動(dòng)中，該組織持續(xù)制造大量假冒國(guó)內(nèi)知名郵箱服務(wù)網(wǎng)站，以及假冒受害目標(biāo)單位郵箱系統(tǒng)網(wǎng)站，圍繞時(shí)事熱點(diǎn)針對(duì)政府機(jī)構(gòu)、國(guó)防軍工、科研等多個(gè)領(lǐng)域的重點(diǎn)單位發(fā)起釣魚(yú)郵件攻擊。毒云藤組織經(jīng)常利用各類時(shí)事熱點(diǎn)發(fā)起攻擊，典型事件如：1月基于交通整治類熱點(diǎn)事件攻擊國(guó)內(nèi)多個(gè)交通監(jiān)管機(jī)構(gòu)；4月多個(gè)單位展開(kāi)實(shí)網(wǎng)攻防演練，毒云藤組織則依托演練誘餌關(guān)鍵詞針對(duì)某智庫(kù)發(fā)起定向攻擊；5月又以個(gè)稅申報(bào)活動(dòng)、五一疫情防控等熱點(diǎn)事件針對(duì)多個(gè)行業(yè)和機(jī)構(gòu)發(fā)起定向攻擊。圖1 圖2圖1.毒云藤-利用實(shí)網(wǎng)攻防演練熱點(diǎn)事件 圖2.毒云藤-利用保密競(jìng)賽熱點(diǎn)事件RESEARCHREPORT釣魚(yú)郵件攻擊中采用了大量誘餌文檔，這些誘餌文檔均為正常文件，大部分是目標(biāo)官方網(wǎng)站公開(kāi)文件，部分是未公開(kāi)文件，我們懷疑是毒云藤組織在以往攻擊活動(dòng)中竊取的文檔進(jìn)一步作為誘餌文件。相關(guān)誘餌文檔基本都是通知公告類，進(jìn)一步主要分為項(xiàng)目申請(qǐng)、政策文件、會(huì)議論壇、疫情防控這幾類。⑤①34%①項(xiàng)目申請(qǐng)34%②政策文件24%項(xiàng)目申報(bào)③會(huì)議論壇12%④會(huì)議論壇④疫情防控7%③政策文件⑤其他23%12%②24%下表是攻擊活動(dòng)中部分誘餌文檔名市XX局-5g空間規(guī)劃進(jìn)展情況.docx地方與外方簽署的合作文件匯總表.xlsXXX2021年度部級(jí)法學(xué)研究課題指南.docx202105發(fā)布的3批XXX重點(diǎn)專項(xiàng)-含通知.pdfXXX重點(diǎn)發(fā)展評(píng)估申報(bào)表.doc第十二屆XXX電子展.rar第六屆XXX新材料大會(huì)通知.pdf毒云藤誘餌文檔類型RESEARCHREPORT02.APT-C-06（Darkhotel）Darkhotel組織攻擊活動(dòng)最早可追溯到2010年，擅長(zhǎng)利用瀏覽器漏洞，尤其是0day漏洞針對(duì)重點(diǎn)目標(biāo)進(jìn)行精準(zhǔn)攻擊。去年針對(duì)我國(guó)的攻擊活動(dòng)中就利用了瀏覽器、VPN的多個(gè)0day漏洞，今年也不例外，4月初我們監(jiān)控發(fā)現(xiàn)了該組織發(fā)起了一次新的攻擊活動(dòng)。這次是針對(duì)某網(wǎng)站掛馬進(jìn)行水坑攻擊，該組織又一次利用了一個(gè)全新的IE瀏覽器0day漏洞（CVE-2021-344486）。為了避免安全檢測(cè)和其他非目標(biāo)范圍人群觸發(fā)漏洞導(dǎo)致攻擊暴露，整個(gè)水坑攻擊過(guò)程中惡意腳本有多重驗(yàn)證由此篩選出真正的攻擊目標(biāo)并最終執(zhí)行觸發(fā)0day漏洞。最終釋放的樣本路徑、樣本中的混淆代碼與thinmon攻擊活動(dòng)存在復(fù)用，且最終載荷與thinmon的最終載荷一樣都使用了metepreter服務(wù)端組件metsrv.dll。Darkhotel組織0day攻擊流程域名文件名響應(yīng)行為C&C-1analytics.js收集受害者的瀏覽器信息，發(fā)送到collect.phpcollect.php跳轉(zhuǎn)到livecheck.phplivecheck.php訪問(wèn)mobile.php，并執(zhí)行該頁(yè)面返回的代碼C&C-2mobile.php加密的js代碼，解密后仍有部分亂碼pc.php加密的js代碼，訪問(wèn)extrnapi.phpexternapi.php編碼的js漏洞代碼，解碼后執(zhí)行RESEARCHREPORT03.APT-C-59（蕪瓊洞）今年上半年我們捕獲到一個(gè)未知組織針對(duì)我國(guó)科研、媒體和醫(yī)療衛(wèi)生行業(yè)重點(diǎn)單位的一系列攻擊活動(dòng)，相關(guān)技戰(zhàn)術(shù)均為全新首次應(yīng)用，我們將這個(gè)全新組織命名為蕪瓊洞。該組織攻擊活動(dòng)最早是2020年8月至今非?；钴S，該組織同樣具備0day漏洞攻擊能力，且習(xí)慣圍繞時(shí)事熱點(diǎn)針對(duì)特定目標(biāo)展開(kāi)定制化攻擊。在我們監(jiān)控的三個(gè)被攻擊目標(biāo)中，該組織就采用了三種不同的攻擊方式，1月利用IE瀏覽器0day漏洞（CVE-2021-26411）7針對(duì)我國(guó)科研機(jī)構(gòu)發(fā)起定向攻擊，另外值得注意的是同期Lazarus組織針對(duì)安全研究人員的攻擊中也利用了該漏洞8；3月，基于目標(biāo)內(nèi)網(wǎng)環(huán)境進(jìn)一步進(jìn)行水坑攻擊；5月，針對(duì)醫(yī)療衛(wèi)生機(jī)構(gòu)采用魚(yú)叉郵件投放篡改后惡意安裝包進(jìn)行攻擊。下載執(zhí)行白利用加載瀏覽器漏洞shellcodevmnat.exeSHFOLDER.dll插件下載白利用加載······內(nèi)部云盤(pán)后門程序mscowlib.dll(下載器)釋放執(zhí)行插件nCryptcat惡意郵件惡意安裝程序反彈shell①②③步驟1：攻擊者使用瀏覽器步驟2：后門程序部署步驟3：下載器下載各種插件漏洞、水坑攻擊、釣魚(yú)郵件Cryptcat的修改版和實(shí)現(xiàn)具體的功能多種方式投遞后門程序下階段載荷的下載器蕪瓊洞三種攻擊方式RESEARCHREPORT04.其他APT-C-26（Lazarus）上半年的攻擊活動(dòng)依然積極活躍，尤其是1月Google威脅分析小組披露的該組織利用社交媒體針對(duì)安全研究人員的攻擊9，在我們進(jìn)一步跟蹤監(jiān)控中發(fā)現(xiàn)該組織還利用了谷歌瀏覽器（CVE-2021-2114810）和IE瀏覽器（CVE-2021-2641111）兩個(gè)0day漏洞，其中關(guān)于蕪瓊洞組織也利用了IE瀏覽器0day漏洞，在上述章節(jié)已經(jīng)提到。從攻擊技術(shù)手法看，Lazarus擅長(zhǎng)使用偽造的社交媒體進(jìn)行社會(huì)工程學(xué)攻擊，而此次的攻擊者也在LinkedIn上冒充安全公司的招聘人員12，來(lái)吸引那些對(duì)漏洞利用和攻擊感興趣的安全人員。今年的危險(xiǎn)密碼行動(dòng)還在繼續(xù),利用區(qū)塊鏈工作組機(jī)會(huì)等誘餌發(fā)起攻擊，但攻擊次數(shù)相較于去年已經(jīng)大幅度降低。另外上半年Lazarus的子組織Andariel卷土重來(lái)，Andariel的攻擊目標(biāo)以韓國(guó)國(guó)防工業(yè)為主13，以竊取信息、間諜活動(dòng)為目的。值得注意的是，今年的攻擊活動(dòng)中出現(xiàn)了勒索軟件攻擊。這并不是Lazarus組織首次涉及勒索軟件，去年卡巴斯基披露了Lazarus組織運(yùn)營(yíng)的VHD勒索軟件14。APT-C-55（Kimsuky）2021上半年攻擊頻繁，攻擊目標(biāo)仍以韓國(guó)的政府外交、國(guó)防等。3月，我們披露了一批Kimsuky網(wǎng)絡(luò)攻擊武器與測(cè)試樣本15，相較于歷史攻擊活動(dòng)，這次更多的是利用第三方云盤(pán)和被黑網(wǎng)站作為攻擊基礎(chǔ)設(shè)施。上半年攻擊活動(dòng)仍以魚(yú)叉郵件投遞誘餌文檔為主，同時(shí)也在積極利用社會(huì)熱點(diǎn)事件為誘餌進(jìn)行攻擊。我們根據(jù)惡意腳本竊密攻擊流程分為5類。分類利用誘餌類型活躍時(shí)間第一類（直接竊?。﹩?wèn)卷調(diào)查類文檔為主2020年11月-2021年3月第二類（PowerShell）社會(huì)時(shí)事熱點(diǎn)為主2020年6月至今第三類（XML）拜登政府政策、黨軍事題材為主2020年12月至今第四類（Google博客）會(huì)議類、問(wèn)卷類誘餌為主2021年6月至今第五類（Onedrive網(wǎng)盤(pán)）測(cè)試文檔為主2020年12月-今Kimsuky組織5類惡意腳本竊密攻擊流程RESEARCHREPORT圖1APT-C-60（偽獵者）：該組織針對(duì)我國(guó)的攻擊活動(dòng)最早可以追溯到2018年，攻擊活動(dòng)一直持續(xù)至今，攻擊目標(biāo)主要以人力資源咨詢和貿(mào)易相關(guān)單位為主。今年的攻擊活動(dòng)，是以魚(yú)叉郵件投遞惡意壓縮包為主，主要針對(duì)目標(biāo)發(fā)送偽裝成簡(jiǎn)歷的惡意文件，攻擊成功駐留后持續(xù)使用WinRAR收集回傳受害者敏感數(shù)據(jù)，以竊取敏感文檔為主。rtf文件comepty_0_64.dat加載惡意壓縮包下載下載執(zhí)行下載執(zhí)行INK文件htmljsdownloaderpropsysctl.dbmsvsmons.dat訪問(wèn)js代碼設(shè)置cisid劫持寫(xiě)入html文件comepty_1_64.dat最終的木馬程序圖2圖1.惡意Onedrive網(wǎng)盤(pán)圖2.偽獵者攻擊流程RESEARCHREPORT3.東南亞01.APT-C-00（海蓮花）2021年上半年，海蓮花組織針對(duì)我國(guó)的攻擊活躍程度較去年有所提升，攻擊活躍程度僅次于毒云藤、蔓靈花，3月和4月攻擊處于高峰。今年針對(duì)ICT供應(yīng)商的攻擊占比位居首位，已超過(guò)直接針對(duì)政府、教育等重點(diǎn)單位的攻擊。這些目標(biāo)供應(yīng)商主要服務(wù)于國(guó)防、政府、教育、交通等多個(gè)領(lǐng)域。另外，海蓮花較其他主流APT組織還有一個(gè)顯著的區(qū)別，就是在初始攻擊突破進(jìn)入目標(biāo)內(nèi)網(wǎng)環(huán)境后，會(huì)進(jìn)行大規(guī)模復(fù)雜的橫向移動(dòng)攻擊。今年上半年繼續(xù)沿用了去年主流的三種橫向移動(dòng)攻擊手法：遠(yuǎn)程建立服務(wù)、遠(yuǎn)程調(diào)用WMI服務(wù)、控制內(nèi)網(wǎng)安全軟件服務(wù)端下發(fā)指令。越來(lái)越多的被攻陷網(wǎng)絡(luò)設(shè)備作為C2服務(wù)器，在去年的攻擊活動(dòng)中物聯(lián)網(wǎng)設(shè)備已成為APT新的戰(zhàn)備資源，海蓮花組織也在積極嘗試由此獲得更多武器資源，去年7月，我們捕獲到海蓮花組織陸續(xù)攻擊路由器設(shè)備，主要針對(duì)DrayTek廠商路由器設(shè)備，進(jìn)一步將其作為流量中轉(zhuǎn)跳板，相關(guān)攻擊活動(dòng)持續(xù)至今。另外今年4月各單位展開(kāi)實(shí)網(wǎng)攻防演練期間，海蓮花攻陷了多個(gè)企業(yè)OA系統(tǒng)服務(wù)器，同樣這些服務(wù)器僅作為C2跳板中轉(zhuǎn)用。主流攻擊：白利用+HiJack家族，海蓮花的HiJack家族是目前最活躍的樣本類型，該家族樣本使用前期滲透?jìng)刹椋@取到的被攻擊機(jī)器的信息（IP、MAC地址等），以此當(dāng)做高強(qiáng)度加密方法（AES/RC4）唯一的KEY，來(lái)解碼惡意載荷，如果環(huán)境相關(guān)參數(shù)不匹配，則不執(zhí)行惡意操作，增加安全軟件檢出難度和分析人員的分析難度。DrayTek路由器設(shè)備登錄頁(yè)面RESEARCHREPORT白利用持久化新組合，根據(jù)360安全大腦觀測(cè)到的數(shù)據(jù)，我們發(fā)現(xiàn)海蓮花組織攻入企業(yè)內(nèi)部后，濫用白利用技術(shù)，進(jìn)行持久化駐留。海蓮花組織實(shí)施橫移技術(shù)以后，為了持久化駐留，使用了一個(gè)新的白利用駐留模式。劫持已有軟件服務(wù)項(xiàng)：搜集目標(biāo)系統(tǒng)中可被劫持的目標(biāo)服務(wù)項(xiàng)信息，將可被白利用的目標(biāo)文件，替換目標(biāo)服務(wù)項(xiàng)所屬的主要工作組件。替換完畢后，可等待應(yīng)用程序服務(wù)被動(dòng)啟動(dòng)，也可通過(guò)SMB/RPC或內(nèi)網(wǎng)安全軟件服務(wù)端下發(fā)命令來(lái)遠(yuǎn)程啟動(dòng)此服務(wù)，從而實(shí)現(xiàn)后門模塊持久化駐留系統(tǒng)。此方式?jīng)]有對(duì)服務(wù)項(xiàng)進(jìn)行敏感操作，例如增加新服務(wù)項(xiàng)或修改原服務(wù)項(xiàng)，只對(duì)服務(wù)目標(biāo)文件進(jìn)行替換。可以理解為模擬常規(guī)軟件的升級(jí)過(guò)程，替換被劫持服務(wù)的目標(biāo)文件，替換后的目標(biāo)文件依然為白名單文件。目的是為了躲避安全軟件的篩查。海蓮花攻陷登錄內(nèi)網(wǎng)安全軟件SMB/RPC內(nèi)網(wǎng)管控端建立遠(yuǎn)程服務(wù)管理后臺(tái)內(nèi)網(wǎng)安全軟件服務(wù)端（被攻陷控制）下發(fā)白利用組合文件Black.dllWhite.exe(海蓮花后門)(白名單文件)替換被攻擊機(jī)器White.exe(被攻擊機(jī)器原有服務(wù)目標(biāo)文件)白利用持久化新組合攻擊流程RESEARCHREPORT02.APT-C-30（潛行者）潛行者組織針對(duì)我國(guó)相關(guān)部門的攻擊已經(jīng)持續(xù)了12年左右，其攻擊手法新穎、復(fù)雜，先后運(yùn)用了NSA武器庫(kù)、殺毒軟件漏洞等先進(jìn)攻擊技術(shù)和大量對(duì)抗技術(shù)防止安全人員分析，攻擊行動(dòng)隱蔽低調(diào)，攻擊周期長(zhǎng)，是攻擊能力出眾的APT組織。從2018年開(kāi)始，360高級(jí)威脅研究院持續(xù)發(fā)現(xiàn)了潛行者組織相關(guān)最新攻擊活動(dòng)，被攻擊者主要包括涉及政府、通信行業(yè)，而且該組織的目標(biāo)范圍主要集中在某幾個(gè)重點(diǎn)單位，對(duì)目標(biāo)的定向攻擊方式和北美組織類似，與南亞地區(qū)組織差異較大。相關(guān)攻擊最早可以追溯到2009年，攻擊最早的樣本編譯時(shí)間為2008年，攻擊活動(dòng)一直持續(xù)至今。該組織對(duì)目標(biāo)內(nèi)網(wǎng)環(huán)境進(jìn)行了深入研究，針對(duì)目標(biāo)內(nèi)網(wǎng)環(huán)境中的殺毒軟件進(jìn)行針對(duì)性的攻擊，利用殺毒軟件的升級(jí)服務(wù)漏洞植入后門，控制目標(biāo)內(nèi)網(wǎng)關(guān)鍵服務(wù)器并進(jìn)行了持續(xù)的潛伏滲透。今年上半年該組織主要針對(duì)東南亞地區(qū)通信行業(yè)相關(guān)單位，目的仍然以竊取重點(diǎn)單位敏感文件為主，攻擊活動(dòng)主要集中在1月至3月，其中攻擊頻率逐月遞減。另外針對(duì)APT-C-30（潛行者）組織歷年來(lái)攻擊活動(dòng)的技戰(zhàn)術(shù)細(xì)節(jié)，我們近期將對(duì)外披露。行動(dòng)名稱時(shí)間主要中招單位FakeLon2011-2013涉及多個(gè)政府機(jī)構(gòu)NightCrawler2011-2012針對(duì)某政府機(jī)構(gòu)FakeKng2009-2019針對(duì)某政府機(jī)構(gòu)PackJet2013-2015針對(duì)某政府機(jī)構(gòu)SevenPack2014-2019針對(duì)某通信企業(yè)KssLov2016涉及政府機(jī)構(gòu)和通信企業(yè)Fentel2015-2020多個(gè)領(lǐng)域，以通信為主AIBD2017-2020針對(duì)某政府機(jī)構(gòu)YNN2016-2021涉及政府機(jī)構(gòu)、通信、國(guó)防等潛行者組織相關(guān)攻擊行動(dòng)匯總RESEARCHREPORT多種橫向移動(dòng)方式潛行者組織近10年來(lái)的后門的植入方式不盡相同，但多次攻擊行動(dòng)手法都有鮮明的技術(shù)特點(diǎn)，主要利用目標(biāo)內(nèi)網(wǎng)的殺毒軟件漏洞進(jìn)行攻擊。攻擊者在控制了目標(biāo)內(nèi)網(wǎng)的任意機(jī)器后,會(huì)利用殺軟的漏洞攻擊殺軟的客戶端和服務(wù)端,使該目標(biāo)機(jī)器連接偽裝的升級(jí)中心下載后門升級(jí)包并啟動(dòng)以植入后門，進(jìn)一步后門會(huì)連接公網(wǎng)、內(nèi)網(wǎng)的C&C，同時(shí)在受害者機(jī)器上添加管理員賬號(hào)，開(kāi)啟文件共享，添加防火墻規(guī)則等弱化主機(jī)的防御，以便于攻擊者穩(wěn)固據(jù)點(diǎn)，在目標(biāo)內(nèi)網(wǎng)中再持續(xù)進(jìn)行橫向移動(dòng)。潛行者組織攻擊的核心目標(biāo)是長(zhǎng)期控制并竊取敏感文件，一旦目標(biāo)單位環(huán)境發(fā)生變化，如操作系統(tǒng)、防御體系更新升級(jí)等，都會(huì)及時(shí)采取應(yīng)對(duì)措施。我們發(fā)現(xiàn)該組織在針對(duì)某單位橫向移動(dòng)過(guò)程中，該單位某殺毒軟件多個(gè)版本（包括最新版本）都已被利用。利用泄露的NSA武器庫(kù)除了使用殺軟漏洞，潛行者組織還會(huì)使用ShadowBrokers在2017年4月14泄露的NSA武器庫(kù)中的組件進(jìn)行內(nèi)網(wǎng)的橫向移動(dòng)。截至目前共捕獲了三種武器組件Smbtouch-1.1.1、Doublepulsar-1.3.1、Eternalblue-2.2.0相關(guān)NSA武器庫(kù)壓縮包文件RESEARCHREPORT4.東歐東歐相關(guān)APT組織一直以來(lái)以歐美各國(guó)軍政機(jī)構(gòu)和一些重點(diǎn)企業(yè)為目標(biāo)進(jìn)行著持續(xù)不斷的攻擊活動(dòng)，去年12月，震驚全球的SolarWinds供應(yīng)鏈攻擊活動(dòng)就被發(fā)現(xiàn)與俄語(yǔ)系A(chǔ)PT組織Turla的Kazuar相關(guān)組件存在關(guān)聯(lián)。今年上半年Gamaredon組織最為活躍，另外APT28、APT29、Turla等組織今年也被披露有新的攻擊活動(dòng)。01.APT-C-54（Gamaredon）作為最活躍的俄語(yǔ)系A(chǔ)PT組織之一，Gamaredon一直以來(lái)的主要攻擊對(duì)象為烏克蘭的政府官員、新聞工作者和反對(duì)黨成員，其攻擊武器五花八門，擅長(zhǎng)利用混淆后的vba宏、vbs及bat腳本進(jìn)行攻擊載荷的釋放。今年5月，我們披露了Gamaredon新啟用的一批后門程序，這些后門主要功能依舊是竊取目標(biāo)計(jì)算機(jī)的特定格式文件，但相較于老版本的dll后門，新版本更新并完善了一些功能，且具有更強(qiáng)的隱蔽性。自今年年初俄烏關(guān)系不斷惡化以后，Gamaredon組織加強(qiáng)了對(duì)烏克蘭政府及軍事機(jī)構(gòu)目標(biāo)的攻擊，在此期間我們捕獲到了大量來(lái)自該組織的誘餌文檔，文檔的語(yǔ)言均為烏克蘭語(yǔ)。Gamaredon組織使用的誘餌文檔RESEARCHREPORT持續(xù)跟蹤Gamaredon組織的相關(guān)活動(dòng)時(shí)，發(fā)現(xiàn)該組織利用修改PE文件的方式向帶有合法簽名的PE文件中嵌入惡意腳本16。雖然向數(shù)字證書(shū)中嵌入payload的手法早已被披露，但是該組織利用此種手法執(zhí)行vbs還是首次出現(xiàn)。02.其他APT-C-20（APT28）：是具有俄羅斯背景的APT組織中較為活躍的一個(gè)，該組織的zebrocy家族木馬在近幾年的攻擊活動(dòng)中尤其活躍，該組織也一直保持著該家族的更新，目前已知的該家族樣本包括delphi、go、nim等版本。去年年底，我們披露了該組織新版zebrocy的相關(guān)活動(dòng)。今年2月公開(kāi)情報(bào)披露了一起疑似APT28組織針對(duì)哈薩克斯坦高碳鉻鐵生產(chǎn)商Kazchrome的攻擊活動(dòng)17，攻擊者通過(guò)誘餌文檔引誘受害者啟用宏并釋放執(zhí)行攻擊載荷。該載荷采用delphi語(yǔ)言編寫(xiě)，易讓人聯(lián)想起同樣采用delphi語(yǔ)言版本的zebrocydownloader，但由于編譯器版本差異和代碼架構(gòu)差異過(guò)大，且后續(xù)沒(méi)有發(fā)現(xiàn)更多相關(guān)活動(dòng)，本次攻擊活動(dòng)是否歸屬于APT28組織還需持續(xù)跟蹤研判。篡改后的Chrome.exe并保持?jǐn)?shù)字簽名的有效性RESEARCHREPORTAPT-C-25（APT29）：一直以來(lái)被指與俄羅斯對(duì)外情報(bào)部門存在關(guān)聯(lián)，多次以美國(guó)和歐洲國(guó)家為目標(biāo)，通過(guò)爆破密碼和郵件釣魚(yú)等方式進(jìn)行網(wǎng)絡(luò)攻擊，該組織具備0day作戰(zhàn)能力，且行動(dòng)較為隱蔽。今年5月，國(guó)外安全廠商Volexity18監(jiān)控到一起該組織針對(duì)多國(guó)政府機(jī)構(gòu)的郵件釣魚(yú)活動(dòng)，該組織利用釣魚(yú)郵件中的誘餌文檔釋放并執(zhí)行惡意程序。有趣的是，相關(guān)惡意文件中故意留下了包含韓語(yǔ)的路徑字符串，疑似用于誤導(dǎo)安全研究員。APT-C-29（Turla）：是眾多俄語(yǔ)系A(chǔ)PT組織中，所掌握武器和利用方式最復(fù)雜的組織之一，該組織的Carbon、ComRat、Karzuar等后門套件，不僅功能豐富且易于擴(kuò)展，長(zhǎng)期以來(lái)也保持著更新和版本迭代，去年年末，震驚全球的solarwinds事件就被指與該組織的Karzuar后門存在關(guān)聯(lián)。今年年初，國(guó)外的安全研究者發(fā)現(xiàn)該組織開(kāi)始將IronPython納入自身攻擊武器的一環(huán)，通過(guò)給受害者計(jì)算機(jī)安裝IronPython，Turla組織成員得以運(yùn)行python編寫(xiě)的惡意腳本，且能在python代碼中直接調(diào)用.net平臺(tái)的API，功能十分強(qiáng)大。從這一點(diǎn)來(lái)看，該組織未來(lái)可能會(huì)利用各式各樣的腳本解釋器進(jìn)行惡意活動(dòng)。包含韓語(yǔ)字符串的PDB路徑RESEARCHREPORT發(fā)布時(shí)間攻擊事件發(fā)布機(jī)構(gòu)1月5日FBI、CISA、ODNI、NSA關(guān)于Solarwinds事件的聯(lián)合聲明19CISA2月15日Sandworm組織攻擊法國(guó)開(kāi)源IT監(jiān)控系統(tǒng)20CERT-FR2月19日IronNetInjector：Turla的新惡意軟件加載工具21PaloAltoNetworks2月22日疑似APT28利用高碳鉻鐵生產(chǎn)商登記表為誘餌的攻擊活奇安信動(dòng)分析223月7日與俄羅斯有關(guān)的APT組織利用立陶宛基礎(chǔ)設(shè)施發(fā)動(dòng)攻擊23SecurityAffairs4月15日“雛鶯行動(dòng)”：一起針對(duì)俄羅斯的竊密行動(dòng)24安天4月15日美國(guó)政府確認(rèn)SolarWinds攻擊者是俄羅斯SVR25FBI4月26日俄羅斯情報(bào)局（SVR）攻擊行動(dòng)：趨勢(shì)及防御26US-CERT5月3日魚(yú)叉攻擊使用COVID誘餌瞄準(zhǔn)烏克蘭政府27Fortinet5月27日疑似APT29進(jìn)行了以選舉欺詐為主題的網(wǎng)絡(luò)釣魚(yú)活動(dòng)28Volexity6月4日SBU阻止了俄羅斯特種部隊(duì)針對(duì)烏克蘭當(dāng)局計(jì)算機(jī)網(wǎng)絡(luò)的烏克蘭安全局大規(guī)模網(wǎng)絡(luò)攻擊296月25日新的Nobelium活動(dòng)30Microsoft2021年上半年?yáng)|歐地區(qū)典型APT攻擊活動(dòng)RESEARCHREPORT5.中東中東地區(qū)局勢(shì)動(dòng)蕩復(fù)雜，黑天鵝事件頻發(fā)，2021年4月，伊朗的納坦茲核設(shè)施電力系統(tǒng)疑似遭到以色列的電子攻擊出現(xiàn)問(wèn)題，伊朗是中東網(wǎng)絡(luò)攻擊活動(dòng)的首要目標(biāo)，2021年上半年中東地區(qū)多個(gè)組織攻擊活動(dòng)頻繁，最活躍的要屬于MuddyWater，APT34、CharmingKitten也多次被披露，2021年中東地區(qū)的攻擊仍然是以政治主題為主，同時(shí)伊朗組織CharmingKitten的目標(biāo)開(kāi)始轉(zhuǎn)向醫(yī)學(xué)人員。01.MuddyWaterMuddyWater攻擊組織，其攻擊目標(biāo)包括伊拉克、約旦、土耳其等中東地區(qū)國(guó)家，具有較明顯的政治意圖，其使用最多的方式是釣魚(yú)文檔，并最終將PowerShell后門植入到目標(biāo)機(jī)器上。善于利用各種腳本后門，并且會(huì)對(duì)腳本添加復(fù)雜的混淆，加大了攻擊監(jiān)測(cè)難度，也增加了對(duì)于攻擊樣本的分析難度。MuddyWater是今年上半年中東地區(qū)最活躍的攻擊者，使用的攻擊方式都比較新穎，先是被發(fā)現(xiàn)利用了github托管CobaltStrike腳本31，隨后其在用以色列的地緣政治為主題的攻擊行動(dòng)中使用Onehub作為載體32。使用的惡意文檔以及翻譯后的圖片如下：惡意文檔以及翻譯后的圖片RESEARCHREPORT02.OilrigOilrig組織，也被稱為APT34，最早于2017年1月以GreenBug命名被首次公開(kāi)披露，Oilrig以電信、石油和航空業(yè)為攻擊目標(biāo)，主要針對(duì)美國(guó)、歐洲和中東地區(qū)。該組織使用自定義的RDAT后門，RDAT自2017年到2019年一直被長(zhǎng)期維護(hù)，該工具的主要特點(diǎn)是http和dns隧道的通信，多種變體也都依賴于http和dns隧道進(jìn)行網(wǎng)絡(luò)通信。自2019年一個(gè)名為“LabDookhtegan”的實(shí)體泄漏APT34工具以來(lái)，該組織一直在對(duì)攻擊組件持續(xù)開(kāi)發(fā)和更新，以便更隱秘的進(jìn)行新一輪的活動(dòng)，tonedeaf類型惡意軟件就在這之后被發(fā)現(xiàn)。在2020年4月、5月針對(duì)中東、南亞的電信提供商進(jìn)行了攻擊中使用了自定義Mimikatz工具。特別是在今年，OilRig被發(fā)現(xiàn)疑似采用了新的后門變體SideTwist針對(duì)黎巴嫩相關(guān)目標(biāo)33，該組織的武器庫(kù)得到了進(jìn)一步的更新。OilRig在最近的攻擊中特別多的使用求職、應(yīng)聘作為惡意文檔的關(guān)鍵字，我們此次捕獲到的疑似惡意文檔打開(kāi)后內(nèi)容也是一個(gè)招聘信息，描述的工作內(nèi)容與芯片PC產(chǎn)品、程序和系統(tǒng)相關(guān)，需要銷售經(jīng)理、HR、技術(shù)支持三個(gè)崗位，看似與工作相關(guān)，實(shí)則是迷惑相關(guān)人員。下圖為此次攻擊捕獲的文檔截圖：OilRig組織誘餌文檔RESEARCHREPORT03.其他APT-C-41（藍(lán)色魔眼）又稱StrongPity，其攻擊活動(dòng)主要針對(duì)比利時(shí)、敘利亞等國(guó)家進(jìn)行，去年年底我們也發(fā)現(xiàn)了該組織針對(duì)我國(guó)的攻擊行動(dòng)。該組織攻擊武器復(fù)雜而豐富，擁有0day作戰(zhàn)的能力，且一直保持著武器庫(kù)的更新迭代，擅長(zhǎng)利用攜帶后門的惡意安裝包進(jìn)行水坑攻擊。WinRAR、7-ZIP、TeamViewer等常用的軟件安裝包都被該組織利用過(guò)。今年2月至4月，我們捕獲到若干該組織制作的惡意安裝包，被偽裝的軟件類型包括Skype、Winrar、FindAndMount等，其中我們發(fā)現(xiàn)了該組織針對(duì)國(guó)內(nèi)軟件格式工廠，制作了惡意安裝包，但我們暫時(shí)沒(méi)有在國(guó)內(nèi)發(fā)現(xiàn)相關(guān)活動(dòng)。APT-C-23（雙尾蝎）首次發(fā)現(xiàn)該組織定制的iOS監(jiān)控軟件34，該組織通過(guò)誘騙安裝移動(dòng)配置文件的方式，在不需要越獄設(shè)備安裝特定于設(shè)備的簽名版本的iOS應(yīng)用程序。安裝后，惡意軟件利用了SockPort漏洞越獄以提升其權(quán)限，以獲取無(wú)法通過(guò)標(biāo)準(zhǔn)iOS權(quán)限請(qǐng)求訪問(wèn)的敏感用戶信息。同時(shí)，還發(fā)現(xiàn)該組織使用龐大的基礎(chǔ)設(shè)施來(lái)支持其運(yùn)營(yíng)，其中包括100多個(gè)托管iOS和Android惡意軟件，試圖通過(guò)網(wǎng)絡(luò)釣魚(yú)竊取憑據(jù)或充當(dāng)命令和控制服務(wù)器的網(wǎng)站。運(yùn)行合法格式工廠安裝包的同時(shí)釋放后門文件RESEARCHREPORTpart03RESEARCHREPORT2021上半年攻擊態(tài)勢(shì)總結(jié)1.全球疫情嚴(yán)峻形勢(shì)下境外APT組織針對(duì)我國(guó)的攻擊持續(xù)活躍01.圍繞“新冠疫情”相關(guān)攻擊活動(dòng)依然處于高位今年上半年全球新冠肺炎疫情形勢(shì)依然嚴(yán)峻，截至7月1日，累計(jì)病例已超1.8億例。如南亞地區(qū)多國(guó)疫情反復(fù)爆發(fā)。這期間內(nèi)圍繞“新冠疫情”相關(guān)攻擊活動(dòng)依然處于高位，主要體現(xiàn)在利用新冠疫情作為誘餌社工、攻擊醫(yī)療行業(yè)企業(yè)和政府監(jiān)管機(jī)構(gòu)。4月，我們披露了透明部落組織利用疫情相關(guān)信息對(duì)印度醫(yī)療行業(yè)進(jìn)行情報(bào)竊取的定向攻擊活動(dòng)35。5月，蕪瓊洞、蔓靈花組織先后針對(duì)我國(guó)醫(yī)療機(jī)構(gòu)發(fā)起了定向攻擊。APT組織利用新冠誘餌文檔攻擊醫(yī)療機(jī)構(gòu)攻擊政府機(jī)構(gòu)APT-C-00（海蓮花）是APT-C-01（毒云藤）是是APT-C-08（蔓靈花）是是是APT-C-24（響尾蛇）是是APT-C-28（Scarcruft）是APT-C-54（Gamaredon）是APT-C-55（Kimsuky）是APT-C-56（透明部落）是是APT-C-59（蕪瓊洞）是圍繞“新冠疫情”攻擊活動(dòng)涉及的部分APT組織RESEARCHREPORT圖1圖2 圖3部分誘餌文檔文件名：五一期間疫情防控工作.docx防疫重點(diǎn).rar??_???????_??_????_??_????.hwp(新_冠狀病毒_相關(guān)_小型企業(yè)_支持_綜合指南.hwp)COVIDVaccinationforAllEmployees.pdf疫情津貼啟動(dòng)信息.chm免疫滅活疫苗的研制匯總表.doc近期開(kāi)展新冠疫情防控工作情況.docx附件1.重點(diǎn)保障人群新冠疫苗緊急使用接種需求登記表（加入接種門診）.xlsxPyongyangstoreslowonforeigngoodsamidNorthKoreanCOVID-19paranoia(1).doc圖1.透明部落誘餌文檔 圖2.毒云藤誘餌文檔 圖3.Gamaredon誘餌文檔RESEARCHREPORT02.南亞、東南亞地區(qū)疫情嚴(yán)重，針對(duì)我國(guó)醫(yī)療機(jī)構(gòu)APT攻擊活躍針對(duì)我國(guó)醫(yī)療衛(wèi)生行業(yè)的攻擊從去年疫情爆發(fā)就開(kāi)始不斷升溫，如去年年初CNC、海蓮花等組織針對(duì)我國(guó)多個(gè)醫(yī)療行業(yè)單位展開(kāi)定向攻擊活動(dòng)。今年也不例外，4月，南亞等地區(qū)疫情蔓延爆發(fā)，5月開(kāi)始南亞地區(qū)相關(guān)組織整體攻擊活動(dòng)有所放緩，但陸續(xù)出現(xiàn)多起針對(duì)我國(guó)醫(yī)療衛(wèi)生機(jī)構(gòu)的攻擊活動(dòng)，如蔓靈花、蕪瓊洞、海蓮花等多個(gè)組織，針對(duì)醫(yī)療衛(wèi)生行業(yè)的攻擊陸續(xù)活躍。蕪瓊洞（APT-C-59）毒云藤海蓮花（APT-C-01）（APT-C-00）1月 2月 3月 4月 5月 6月響尾蛇（APT-C-24）蔓靈花（APT-C-08）針對(duì)我國(guó)醫(yī)療機(jī)構(gòu)的部分APT組織RESEARCHREPORT2.APT攻擊緊跟時(shí)事熱點(diǎn)APT組織緊密圍繞政治、經(jīng)濟(jì)等熱點(diǎn)領(lǐng)域及事件的攻擊活動(dòng)，并不僅僅是利用作為誘餌釣魚(yú)攻擊用，更多是瞄準(zhǔn)了涉及相關(guān)時(shí)事熱點(diǎn)的重點(diǎn)機(jī)構(gòu)或個(gè)人。時(shí)事熱點(diǎn)的范疇除政治、經(jīng)濟(jì)領(lǐng)域外，如疫情態(tài)勢(shì)、某行業(yè)專項(xiàng)活動(dòng)等都會(huì)被APT攻擊所關(guān)注，尤其在今年上半年的攻擊活動(dòng)中，針對(duì)時(shí)事熱點(diǎn)的跟進(jìn)頻次和細(xì)分粒度已明顯超過(guò)去年同期。圖1 圖2圖1.利用“辦理2020年個(gè)稅”誘餌 圖2.毒云藤仿冒“保密觀”的惡意安卓應(yīng)用RESEARCHREPORTA12月B1月C3月1日-6月30日D4月某交通行業(yè)集中拜登當(dāng)選美國(guó)總統(tǒng)個(gè)稅申報(bào)各地展開(kāi)實(shí)網(wǎng)攻防演練整治工作的通知毒云藤以“辦理2020毒云藤針對(duì)多個(gè)交通蕪瓊洞針對(duì)我國(guó)外交、毒云藤以攻防演練誘年個(gè)稅”誘餌，攻擊多行業(yè)重點(diǎn)單位集中攻擊媒體等領(lǐng)域個(gè)行業(yè)單位餌攻擊；A1月-2月B1月下旬-2月初C4月-5月海蓮花針對(duì)某OA系統(tǒng)攻擊；D4月ABDCACB DE4月-5月F4月-5月G5月H6月某知識(shí)競(jìng)賽活動(dòng)南亞新冠疫情爆發(fā)5.1勞動(dòng)節(jié)假期我國(guó)航天熱點(diǎn)時(shí)事毒云藤釣魚(yú)網(wǎng)站攻擊和蔓靈花、海蓮花和蕪毒云藤以“五一疫情CNC針對(duì)航空航天針對(duì)安卓移動(dòng)平臺(tái)攻擊瓊洞針對(duì)醫(yī)療機(jī)構(gòu)防控”針對(duì)智庫(kù)領(lǐng)域攻擊E4月F5-6月G5月H6月GFHEE G F HRESEARCHREPORT3.仿冒目標(biāo)單位郵箱系統(tǒng)集中釣魚(yú)攻擊頻發(fā)今年上半年的攻擊活動(dòng)中，初始攻擊環(huán)節(jié)主要還是以釣魚(yú)郵件攻擊為主，進(jìn)一步其中大部分是仿冒目標(biāo)單位郵箱系統(tǒng)的釣魚(yú)網(wǎng)站攻擊。毒云藤今年的攻擊活動(dòng)基本都是這類釣魚(yú)攻擊，蔓靈花大部分也是基于此類。該階段基本是無(wú)樣本實(shí)體文件的釣魚(yú)攻擊，通過(guò)社會(huì)工程學(xué)直接竊取目標(biāo)用戶郵箱賬號(hào)和密碼，待進(jìn)一步評(píng)估分析后會(huì)針對(duì)高價(jià)值目標(biāo)繼續(xù)投遞木馬惡意文件。年初我們協(xié)助某客戶取證分析時(shí)發(fā)現(xiàn)，訪問(wèn)釣魚(yú)網(wǎng)站的用戶中有近3成都填寫(xiě)了賬號(hào)密碼，如此高成功率和郵箱本身就包含了大量敏感文件信息，這樣“高性價(jià)比”是APT組織得以青睞的主要原因，但這種攻擊方式的弊端很明顯，就是攻擊活動(dòng)非常容易暴露。基于近一年我們捕獲到的釣魚(yú)網(wǎng)站攻擊進(jìn)行統(tǒng)計(jì)分析，主要的攻擊環(huán)節(jié)如上圖四部分：首先構(gòu)造釣魚(yú)郵件，進(jìn)一步訪問(wèn)時(shí)會(huì)涉及跳轉(zhuǎn)頁(yè)面，具體仿冒郵箱系統(tǒng)的虛假登錄頁(yè)面會(huì)涉及多種，最后用戶填寫(xiě)完賬號(hào)密碼后則展示相關(guān)誘餌文件。基本大部分APT組織的釣魚(yú)網(wǎng)站攻擊都會(huì)涉及上述關(guān)鍵環(huán)節(jié)，具體類型會(huì)有較大差異，如今年的攻擊活動(dòng)中，釣魚(yú)郵件中嵌套的釣魚(yú)URL地址，蔓靈花會(huì)將其轉(zhuǎn)換為bit.ly短網(wǎng)址，而毒云藤則保留原始URL鏈接形態(tài)；另如在用戶被誘導(dǎo)填寫(xiě)賬密過(guò)程，大部分情況用戶名可以任意填寫(xiě)，但毒云藤在針對(duì)部分目標(biāo)時(shí)，參數(shù)中自動(dòng)填寫(xiě)登錄用戶名，而無(wú)法手動(dòng)修改。釣魚(yú)攻擊中郵件正文誘餌內(nèi)容會(huì)千變?nèi)f化，釣魚(yú)網(wǎng)站也會(huì)不斷更新迭代，但如果我們?cè)诓槭锗]件的過(guò)程中加以注意和防范，則可以鑒別出大部分釣魚(yú)攻擊和虛假網(wǎng)站。仿冒目標(biāo)單位郵箱系統(tǒng)主要攻擊環(huán)節(jié)RESEARCHREPORT圖1圖3

圖2圖4圖1.蔓靈花組織釣魚(yú)郵件圖2.毒云藤組織仿冒某高校郵箱系統(tǒng)圖3.毒云藤組織仿冒郵箱附件預(yù)覽頁(yè)面圖4.蔓靈花組織仿冒某科研機(jī)構(gòu)文件預(yù)覽頁(yè)面RESEARCHREPORT4.2021上半年0day漏洞攻擊頻發(fā)今年APT攻擊活動(dòng)中0day漏洞的使用較去年大幅增加，基于GoogleProjectZero項(xiàng)目統(tǒng)計(jì)，今年上半年利用的漏洞數(shù)量不僅已超2020年全年的總量36，而且達(dá)到歷史新高。從年初Lazarus組織利用谷歌瀏覽器（CVE-2021-21148）和IE瀏覽器（CVE-2021-26411）兩個(gè)0day漏洞，針對(duì)安全研究人員發(fā)起定向攻擊；蔓靈花組織今年被披露利用0day漏洞（CVE-2021-1732）攻擊活動(dòng)；4月初，我們?cè)俅尾东@到Darkhotel組織利用了一個(gè)全新的IE瀏覽器0day漏洞（CVE-2021-34448）。中旬，我們捕獲到一起疑似半島組織利用iOS0day漏洞攻擊（CVE-2021-30661、CVE-2021-30665、CVE-2021-30666）。我們可以看出相關(guān)0day漏洞攻擊活動(dòng)，不僅出現(xiàn)在如Darkhotel這類有豐富0day儲(chǔ)備的組織，還是如蔓靈花組織今年首次被披露利用0day漏洞，或是如蕪瓊洞這類首次被發(fā)現(xiàn)的新組織。這也體現(xiàn)了APT組織整體攻擊能力再不斷提升加強(qiáng)。4035302520151050年年年年年年年半上201520162017201820192020年2021攻擊活動(dòng)中利用在野0day漏洞數(shù)量（2015年-2021年上半年）RESEARCHREPORT01.0day漏洞之間的爭(zhēng)奪戰(zhàn)在本報(bào)告介紹東亞地區(qū)相關(guān)組織的攻擊活動(dòng)中，我們提到蕪瓊洞組織今年1月利用IE瀏覽器0day漏洞（CVE-2021-26411）針對(duì)我國(guó)科研機(jī)構(gòu)發(fā)起定向攻擊，另外值得注意的是同期Lazarus組織針對(duì)安全研究人員的攻擊中也利用了該漏洞37。結(jié)合公開(kāi)數(shù)據(jù)分析如下表，我們發(fā)現(xiàn)Lazarus和蕪瓊洞幾乎同一時(shí)期發(fā)起攻擊，這在利用0day漏洞攻擊事件中還是屬于比較罕見(jiàn)的，我們無(wú)法確定該漏洞最初來(lái)源，不排除是由0day漏洞軍火供應(yīng)商同時(shí)提供給這兩個(gè)組織，也有可能某組織在首次利用過(guò)程中被另一組織截獲加以利用。時(shí)間事件涉及組織披露或發(fā)現(xiàn)機(jī)構(gòu)125利用社交媒體針對(duì)安全研究人員的攻擊，月日僅提到chrome漏洞，并未提到IELazarusGoogle1月26日蕪瓊洞組織利用蕪瓊洞360政企安全CVE-2021-26411漏洞攻擊我國(guó)科研機(jī)構(gòu)1月28日提到涉及IE瀏覽器，但無(wú)法進(jìn)一步分析Lazarus微軟382月4日韓國(guó)安全廠商ENKI發(fā)報(bào)告稱朝鮮黑客攻LazarusENKI擊ENKI的研究人員3月9日微軟發(fā)布微軟CVE-2021-26411N/A漏洞公告CVE-2021-26411漏洞關(guān)鍵披露信息RESEARCHREPORT02.Exchange0day漏洞攻擊爆發(fā)，中國(guó)亦是受害者今年3月，多個(gè)APT組織利用Exchange郵件服務(wù)器0day漏洞發(fā)起了攻擊活動(dòng)，安全公司ESET發(fā)布新的安全通告39：全球有115個(gè)國(guó)家地區(qū)超過(guò)5000臺(tái)的Exchange服務(wù)器被攻破，10個(gè)不同的APT組織的攻擊目標(biāo)涉及亞洲，中東，美洲和歐洲地區(qū)的各國(guó)組織機(jī)構(gòu)。我們?cè)?月3日發(fā)布了安全公告40，進(jìn)一步監(jiān)控發(fā)現(xiàn)從3月4日開(kāi)始，中國(guó)地區(qū)的部分組織機(jī)構(gòu)開(kāi)始遭受Exchange漏洞的攻擊。截至4月9日，至少有超過(guò)600臺(tái)以上的中國(guó)地區(qū)Exchange服務(wù)器受到不同程度的攻擊影響。5.勒索攻擊APT化，高級(jí)威脅技術(shù)、定向攻擊手段層出不窮2021年上半年，勒索病毒攻擊問(wèn)題也進(jìn)入一個(gè)新的紀(jì)元，針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊事件不斷，開(kāi)始呈現(xiàn)常態(tài)化跡象，有組織網(wǎng)絡(luò)犯罪與國(guó)家級(jí)黑客組織的加入，使得一般機(jī)構(gòu)面對(duì)勒索攻擊無(wú)力招架，國(guó)家背景的Agrius使用帶勒索功能的Apostle對(duì)以色列目標(biāo)進(jìn)行破壞41。根據(jù)Cybereason的報(bào)告顯示，支付贖金的組織有八成會(huì)再次遭到攻擊，大約半數(shù)為相同的攻擊者。從DarkSide攻擊美國(guó)石油管網(wǎng)到Conti入侵愛(ài)爾蘭衛(wèi)生部門，勒索病毒的攻擊目標(biāo)已經(jīng)從個(gè)人電腦、服務(wù)器，到目前對(duì)醫(yī)院、學(xué)校、政府機(jī)構(gòu)和基礎(chǔ)設(shè)施實(shí)施攻擊，其影響力已經(jīng)大大超越以往。這些勒索病毒攻擊已與既往的國(guó)家級(jí)APT的攻擊過(guò)程毫無(wú)差別，攻擊過(guò)程APT化已經(jīng)成為一個(gè)趨勢(shì)。上半年的勒索攻擊事件，也再次印證了《2020年全球高級(jí)持續(xù)性威脅（APT)研究報(bào)告》中對(duì)2021年攻擊趨勢(shì)預(yù)測(cè)中，我們認(rèn)為意圖為破壞、竊密的針對(duì)性勒索攻擊將不斷出現(xiàn)。ColonialPipeline公司緊急通告RESEARCHREPORT01.勒索病毒威脅成為全球共同挑戰(zhàn)，勒索威脅事關(guān)國(guó)家安全在經(jīng)歷美國(guó)最大燃油管道運(yùn)營(yíng)商ColonialPipeline遭黑客攻擊以及網(wǎng)絡(luò)犯罪分子造成的損害日益嚴(yán)重之后，美國(guó)司法部門正在將勒索軟件攻擊的調(diào)查提升到與恐怖主義類似的優(yōu)先地位。而勒索病毒攻擊問(wèn)題，也不單單是某個(gè)國(guó)家或地區(qū)面對(duì)的挑戰(zhàn)，其威脅已成為全球共同挑戰(zhàn)。Conti入侵愛(ài)爾蘭衛(wèi)生部門，在剛剛結(jié)束不久的七國(guó)集團(tuán)成員國(guó)峰會(huì)上，也發(fā)表聯(lián)合聲明，呼吁共同打擊勒索軟件攻擊團(tuán)伙。勒索病毒已不單單是造成經(jīng)濟(jì)上的損失，它已經(jīng)形成了對(duì)國(guó)家安全，公眾生命健康安全的挑戰(zhàn)。未來(lái)我們面臨勒索病毒的挑戰(zhàn)將更加嚴(yán)峻，勒索病毒威脅的應(yīng)對(duì)需提升到戰(zhàn)略高度。02.網(wǎng)絡(luò)威脅超越傳統(tǒng)安全威脅，關(guān)鍵基礎(chǔ)設(shè)施成為黑客攻擊目標(biāo)新冠病毒疫情對(duì)這個(gè)世界，對(duì)大眾的生活、工作方式都產(chǎn)生了深遠(yuǎn)的影響。線上辦公、遠(yuǎn)程會(huì)議、各類智能識(shí)別技術(shù)不斷參與到社會(huì)運(yùn)轉(zhuǎn)之中。大數(shù)據(jù)驅(qū)動(dòng)業(yè)務(wù)，整個(gè)世界構(gòu)筑在軟件之上。網(wǎng)絡(luò)威脅對(duì)現(xiàn)實(shí)社會(huì)運(yùn)轉(zhuǎn)的影響力也切實(shí)凸顯。政府機(jī)構(gòu)、醫(yī)療衛(wèi)生、教育、交通運(yùn)輸?shù)却罅炕A(chǔ)公共服務(wù)面臨勒索攻擊的嚴(yán)峻挑戰(zhàn)，安全威脅也正在超越傳統(tǒng)安全威脅。發(fā)布時(shí)間攻擊事件涉及行業(yè)1月21日黑客利用Windows自帶的BitLocker加密了法國(guó)醫(yī)療衛(wèi)生Chwapi醫(yī)院數(shù)據(jù)4月4日荷蘭最大物流服務(wù)供應(yīng)商之一的BakkerLogistiek遭遇勒物流索病毒攻擊5月7日美國(guó)最大燃油運(yùn)輸管道商“科洛尼爾”（Colonial能源Pipeline）公司遭遇勒索軟件攻擊5月10日美國(guó)塔爾薩市遭受勒索軟件攻擊導(dǎo)致在線服務(wù)中斷公共服務(wù)5月13日愛(ài)爾蘭衛(wèi)生服務(wù)部門遭遇Conti勒索軟件攻擊醫(yī)療衛(wèi)生6月2日渡輪服務(wù)馬薩諸塞州汽船管理局(Steamship交通AuthorityofMassachusetts)遭遇勒索攻擊針對(duì)關(guān)鍵基礎(chǔ)設(shè)施部分攻擊活動(dòng)RESEARCHREPORT03.勒索危害加劇，信息泄露、雙重勒索成主流傳統(tǒng)勒索主要以加密文件、數(shù)據(jù)庫(kù)、磁盤(pán)等方式，影響信息系統(tǒng)正常運(yùn)作，迫使受害者支付贖金。而從2019年11月開(kāi)始Maze率先嘗試通過(guò)泄密實(shí)施勒索，經(jīng)過(guò)不到兩年的發(fā)展，通過(guò)竊取數(shù)據(jù)進(jìn)行的雙重勒索已經(jīng)成為主流，目前已有34個(gè)流行家族，例如Conti、Sodinokibi、DarkSide等都在以竊取和泄露數(shù)據(jù)作為脅迫籌碼。這也更加劇了攻擊的危害，勒索帶來(lái)的信息泄露也跟加劇了企業(yè)的擔(dān)憂。今年上半年，被曝光的事件中，超過(guò)8成是雙重勒索情況，也就是針對(duì)規(guī)模較大的企業(yè)和機(jī)構(gòu)的勒索攻擊，雙重勒索已經(jīng)成為絕對(duì)的主流。4月，蘋(píng)果的代工廠廣達(dá)遭勒索病毒攻擊，遭黑客團(tuán)伙竊取大量資料，在勒索代工廠失敗之后，黑客轉(zhuǎn)而勒索蘋(píng)果電腦公司高達(dá)5000萬(wàn)美元贖金，如果無(wú)法和攻擊者達(dá)成協(xié)議，蘋(píng)果將有大批數(shù)據(jù)泄露。ColonialPipeline公司緊急通告RESEARCHREPORT6.針對(duì)安全研究人員的社會(huì)工程學(xué)定向攻擊從去年3月疑似東歐某政府機(jī)構(gòu)承包商被入侵，導(dǎo)致有關(guān)入侵物聯(lián)網(wǎng)（IoT）設(shè)備的Fronton項(xiàng)目細(xì)節(jié)被泄露，到12月FireEye安全廠商在落鷹行動(dòng)中被攻擊，導(dǎo)致其紅隊(duì)安全工具被泄露。APT組織與安全機(jī)構(gòu)之間的正面對(duì)抗不斷升級(jí)，今年年初，google安全小組披露了一起利用推特等社交媒體針對(duì)安全研究人員的社會(huì)工程學(xué)攻擊事件42。該事件將網(wǎng)絡(luò)安全本質(zhì)仍是人與人之間的對(duì)抗體現(xiàn)的淋漓盡致。經(jīng)過(guò)360高級(jí)威脅研究院的分析研判，結(jié)合360安全大腦的全網(wǎng)遙測(cè)分析，我們確認(rèn)這是APT-C-26（Lazarus）組織首次針對(duì)網(wǎng)絡(luò)安全行業(yè)并籌劃了一年時(shí)間以上的APT攻擊行動(dòng)，此次行動(dòng)該組織使用了針對(duì)數(shù)字加密貨幣和巨頭商業(yè)公司等行業(yè)相似的攻擊技戰(zhàn)術(shù)，結(jié)合此次攻擊中出現(xiàn)的有毒“POC”源碼包等攻擊技術(shù)特點(diǎn)，我們將此次攻擊行動(dòng)命名為“破殼行動(dòng)”43。該組織建立BLOG、發(fā)布漏洞分析文章、偽裝安全研究人員身份進(jìn)行技術(shù)交流的完整細(xì)節(jié)過(guò)程，如下圖所示：“破殼行動(dòng)”攻擊細(xì)節(jié)過(guò)程RESEARCHREPORT有毒“POC”源代碼包在VisualStudio的工程配置文件中加入了惡意代碼，如某個(gè)POC包dxgkrnl_poc.vcxproj工程配置文件，在PreBuildEvent字段中插入了一段命令。該命令會(huì)使用Powershell執(zhí)行隱藏在本地工程中的DLL荷載，在工程編譯時(shí)相關(guān)的惡意代碼即會(huì)被觸發(fā)執(zhí)行?？傆[整個(gè)攻擊事件，APT-C-26（Lazarus）組織從提前一年注冊(cè)社交賬號(hào)開(kāi)始策劃攻擊，到持續(xù)數(shù)月發(fā)布漏洞安全相關(guān)文章，推特、github、youtube等各大平臺(tái)也持續(xù)發(fā)布相關(guān)資訊，引發(fā)大量安全博客、從業(yè)人員相繼轉(zhuǎn)載增加行業(yè)知名度，再到最終通過(guò)社工攻擊針對(duì)安全研究人員發(fā)送帶有惡意代碼的POC源碼包，可以說(shuō)是一場(chǎng)非常有耐心且經(jīng)過(guò)精心設(shè)計(jì)的攻擊行動(dòng)，不難猜測(cè)攻擊者將安全從業(yè)人員作為目標(biāo)，最終可能導(dǎo)致安全研究人員所屬的安全公司被入侵滲透、重要安全漏洞研究成果被盜等嚴(yán)重危害。該組織總共通過(guò)偽裝的技術(shù)Blog發(fā)布了5篇漏洞分析文章。RESEARCHREPORTpart04RESEARCHREPORT關(guān)鍵核心戰(zhàn)場(chǎng)態(tài)勢(shì)1.政府、科研是重災(zāi)區(qū)，醫(yī)療、媒體威脅凸顯今年上半年，無(wú)論從國(guó)內(nèi)受影響情況還是基于公開(kāi)APT報(bào)告涉及行業(yè)統(tǒng)計(jì)，都可以看出政府、科研和國(guó)防軍工依然是主要針對(duì)領(lǐng)域，其中針對(duì)我國(guó)教育領(lǐng)域的攻擊活動(dòng)實(shí)則是瞄準(zhǔn)國(guó)防軍工和科技創(chuàng)新體系。針對(duì)我國(guó)ICT供應(yīng)商的供應(yīng)鏈攻擊威脅進(jìn)一步升級(jí)，今年南亞、東南亞地區(qū)疫情形勢(shì)嚴(yán)峻，5月初出現(xiàn)多起針對(duì)我國(guó)醫(yī)療衛(wèi)生機(jī)構(gòu)的攻擊。涉及媒體領(lǐng)域重點(diǎn)單位的攻擊頻次較去年明顯加強(qiáng)，且更具針對(duì)性。⑦⑧⑨⑩⑥⑤④科研③10%?⑨⑩⑧⑦⑥⑤④

? ①34%政府教育②28%圖1政府①29%國(guó)防軍工科研②13%③11%圖2

①政府34%⑦制造2%②教育28%⑧媒體2%③科研10%⑨能源1%④國(guó)防軍工7%⑩醫(yī)療1%⑤ICT供應(yīng)商6%?其他7%⑥貿(mào)易2%①政府29%⑦教育4%②國(guó)防軍工13%⑧制造2%③科研11%⑨航空2%④能源11%⑩通信1%⑤金融9%?其他16%⑥醫(yī)療4%圖1.2021年上半年中國(guó)地區(qū)受影響行業(yè)分布 圖2.2021年上半年公開(kāi)APT報(bào)告涉及行業(yè)分布RESEARCHREPORT2.城市數(shù)字化轉(zhuǎn)型下APT威脅加劇2021年3月11日，十三屆全國(guó)人大四次會(huì)議表決通過(guò)了關(guān)于國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要的決議。在國(guó)家十四五規(guī)劃綱要中44，將“加快數(shù)字化發(fā)展，建設(shè)數(shù)字中國(guó)”單獨(dú)成篇，從國(guó)家戰(zhàn)略層面明確了數(shù)字化轉(zhuǎn)型的重要性。2021年全國(guó)兩會(huì)期間，全國(guó)政協(xié)委員，360集團(tuán)創(chuàng)始人、董事長(zhǎng)周鴻祎就智慧城市面臨新型網(wǎng)絡(luò)威脅，提出加快構(gòu)建智慧城市安全基座的議案45。從上半年APT攻擊活動(dòng)整體來(lái)看，行業(yè)領(lǐng)域是APT攻擊首要關(guān)注因素，但由于地緣政治或其他因素導(dǎo)致的城市區(qū)域性攻擊活動(dòng)愈見(jiàn)明顯，尤其隨著城市數(shù)字化轉(zhuǎn)型快速發(fā)展，APT攻擊打法也會(huì)隨之調(diào)整升級(jí)。01.針對(duì)城市區(qū)域性的攻擊威脅不斷針對(duì)我國(guó)的攻擊活動(dòng)中以朝鮮半島、南亞等地區(qū)的APT組織最為顯著，其中如Darkhotel、旺刺，以及今年新捕獲的蕪瓊洞等組織，相關(guān)攻擊活動(dòng)都是以地域性特征為主，行業(yè)領(lǐng)域并不是其首要關(guān)注的。尤其是Darkhotel組織是長(zhǎng)期圍繞我國(guó)某地區(qū)，針對(duì)多個(gè)不同行業(yè)領(lǐng)域的單位或個(gè)人發(fā)起定向攻擊。而南亞和東南亞組織攻擊活動(dòng)的地域性特性更多呈現(xiàn)周期性，尤其是在出現(xiàn)重大熱點(diǎn)事件期間尤為明顯。APT化的定向勒索攻擊針對(duì)市政公共設(shè)施和公共服務(wù)部門的攻擊事件也層出不窮。今年4月末Babuk勒索病毒成功攻擊美國(guó)華盛頓警方并竊取超250GB數(shù)據(jù)，在攻擊者不接受支付贖金后，暗網(wǎng)公布了大量竊取的敏感數(shù)據(jù)。同月，巴西南里奧格蘭德法院遭遇勒索病毒攻擊46，員工資料、圖片均無(wú)法正常使用。5月，美國(guó)塔爾薩市在線服務(wù)遭受勒索軟件攻擊47，導(dǎo)致在線支付系統(tǒng)、水費(fèi)賬單等服務(wù)中斷，進(jìn)一步塔爾薩市、塔爾薩市議會(huì)、塔爾薩警察局等網(wǎng)站也被關(guān)閉進(jìn)行維護(hù)，嚴(yán)重影響到居民的正常生活。無(wú)論是地緣政治背景下的APT攻擊活動(dòng)，還是暴利驅(qū)使下的勒索病毒威脅，在對(duì)城市安全造成重大挑戰(zhàn)面前，急需圍繞數(shù)據(jù)安全、網(wǎng)絡(luò)安全，加快構(gòu)建與城市數(shù)字化轉(zhuǎn)型相適應(yīng)的大安全格局。RESEARCHREPORT02.萬(wàn)物互聯(lián)下智慧城市的攻擊面不斷擴(kuò)大如今，智慧城市成為我國(guó)城市發(fā)展的新理念和新模式。據(jù)統(tǒng)計(jì)，我國(guó)已經(jīng)有大約500座城市明確提出或正在建設(shè)新型智慧城市。然而，萬(wàn)物互聯(lián)之下，以地理空間技術(shù)、物聯(lián)網(wǎng)、互聯(lián)網(wǎng)+、移動(dòng)技術(shù)、大數(shù)據(jù)等技術(shù)做支撐的智慧城市建設(shè)，同樣面臨著不可估量的安全威脅。小到街道照明，大到能源、水務(wù)、電網(wǎng)、交通都與互聯(lián)網(wǎng)連接，每個(gè)傳感器都可能存在漏洞，加之專業(yè)級(jí)黑客組織的粉墨登場(chǎng)，智慧城市面臨的網(wǎng)絡(luò)安全威脅將越來(lái)越大。國(guó)際調(diào)研機(jī)構(gòu)IDC發(fā)布2021年中國(guó)智慧城市10大預(yù)測(cè)48：“到2023年，由于物聯(lián)網(wǎng)生態(tài)系統(tǒng)的脆弱性，地方政府部署的設(shè)備中將有35%會(huì)成為惡意軟件和勒索軟件的攻擊目標(biāo)”。APT組織也早已積極布局物聯(lián)網(wǎng)戰(zhàn)場(chǎng)，從去年Lazarus組織針對(duì)Aruba網(wǎng)絡(luò)設(shè)備的攻擊活動(dòng)到今年針對(duì)路由器設(shè)備持續(xù)活躍的海蓮花組織等。另外上半年我們監(jiān)控發(fā)現(xiàn)了一系列圍繞地理空間技術(shù)、5G等領(lǐng)域最新攻擊活動(dòng)。暗網(wǎng)數(shù)泄露據(jù)網(wǎng)站公布華盛頓警方相關(guān)信息截圖RESEARCHREPORT3.ICT供應(yīng)鏈攻擊威脅進(jìn)一步升級(jí)2020年以供應(yīng)商為核心目標(biāo)的供應(yīng)鏈攻擊已趨于常態(tài)主流化，而今年上半年針對(duì)ICT（InformationandCommunicationTechnology，信息通信技術(shù)）供應(yīng)商的供應(yīng)鏈攻擊更是進(jìn)一步增加，從供應(yīng)設(shè)計(jì)研發(fā)到服務(wù)運(yùn)維多個(gè)階段都有涉及。海蓮花組織更是將供應(yīng)商攻擊作為其主要攻擊戰(zhàn)術(shù)，2021年上半年的攻擊活動(dòng)中涉及多個(gè)頭部軟件供應(yīng)商，較去年主要針對(duì)教育、政府以外，進(jìn)一步涉及軍工、科研等，而且主要針對(duì)供應(yīng)商作業(yè)環(huán)境中的服務(wù)器設(shè)備。另外值得注意的是，去年年底蔓靈花組織積極探索的一種新型供應(yīng)鏈攻擊，今年已成常態(tài)主流。這類攻擊目標(biāo)并不是供應(yīng)商和最終目標(biāo)需求方，而是起到中介服務(wù)的招標(biāo)代理機(jī)構(gòu)。01.傾向目標(biāo)行業(yè)頭部供應(yīng)商APT攻擊活動(dòng)的范疇主要取決于行業(yè)領(lǐng)域和具體單位目標(biāo)，而針對(duì)某行業(yè)領(lǐng)域的攻擊，實(shí)質(zhì)上還是針對(duì)所屬該行業(yè)的具體單位企業(yè)，只是目標(biāo)更加廣泛。而這些專注針對(duì)某一行業(yè)的ICT供應(yīng)商，卻間接起到中心化管理角色，也就是僅需針對(duì)該供應(yīng)商攻擊，其攻擊收益是對(duì)應(yīng)整個(gè)行業(yè)的目標(biāo)單位，這也是導(dǎo)致APT青睞攻擊這類供應(yīng)商的原因。如海蓮花針對(duì)高校領(lǐng)域的供應(yīng)商就是這種情況。02.優(yōu)選目標(biāo)單位強(qiáng)依賴供應(yīng)商在針對(duì)具體某單位的攻擊中，APT組織會(huì)優(yōu)先針對(duì)與該單位有密切合作的供應(yīng)商，尤其是長(zhǎng)期提供專屬ICT服務(wù)的。由于供應(yīng)商與服務(wù)單位之間緊密的合作關(guān)系，APT由此更容易接觸目標(biāo)單位核心業(yè)務(wù)等資源。比如去年魔鼠組織針對(duì)國(guó)內(nèi)頭部郵件系統(tǒng)服務(wù)提供商。RESEARCHREPORT03.針對(duì)中介招標(biāo)代理機(jī)構(gòu)的攻擊也需警惕去年11月，我們捕獲到蔓靈花組織針對(duì)供應(yīng)鏈供應(yīng)環(huán)節(jié)的一種新型攻擊，這類攻擊目標(biāo)并不是供應(yīng)商和最終目標(biāo)需求方，而是起到中介服務(wù)的招標(biāo)代理機(jī)構(gòu)，這類機(jī)構(gòu)起到企業(yè)和供應(yīng)商之間的橋梁，雖然不提供具體產(chǎn)品或服務(wù)，但其能接觸到完整的供需采購(gòu)信息。今年上半年該領(lǐng)域已成APT組織常態(tài)重點(diǎn)攻擊目標(biāo)范疇。我們發(fā)現(xiàn)被攻擊的招標(biāo)代理機(jī)構(gòu)一般都有國(guó)資背景，其服務(wù)客戶更多是國(guó)防軍工、政府機(jī)構(gòu)等重點(diǎn)單位。不難想象如果APT組織掌握了招標(biāo)代理機(jī)構(gòu)相關(guān)核心機(jī)密信息，那相應(yīng)客戶的完整供需關(guān)系即了如指掌。我們推測(cè)APT組織針對(duì)中介商的攻擊意圖，是其由此能獲得更立體更全面的作戰(zhàn)信息。4.針對(duì)高等學(xué)校的攻擊活動(dòng)實(shí)則瞄準(zhǔn)了我國(guó)國(guó)防軍工和科技創(chuàng)新體系今年上半年針對(duì)我國(guó)教育領(lǐng)域的攻擊較去年又有進(jìn)一步上升，近兩年針對(duì)我們的攻擊活動(dòng)中，除政府機(jī)構(gòu)以外，教育領(lǐng)域受影響最為嚴(yán)重，而其中高等學(xué)校是主要被攻擊目標(biāo)。高等院校是集聚高層次人才的戰(zhàn)略高地，作為培養(yǎng)優(yōu)秀人才的沃土、發(fā)展科研事業(yè)的基地，在建設(shè)世界科技強(qiáng)國(guó)的進(jìn)程中，高校具有不可替代的作用。而APT組織針對(duì)高等學(xué)校的攻擊活動(dòng)，其實(shí)際意圖是瞄準(zhǔn)了我國(guó)的國(guó)防軍工和科技創(chuàng)新體系，以竊取相關(guān)機(jī)密情報(bào)為最終目的。RESEARCHREPORT01.主要圍繞科技創(chuàng)新相關(guān)蔓靈花、毒云藤、海蓮花等都是常年針對(duì)高等學(xué)校領(lǐng)域，大部分以釣魚(yú)郵件為主，誘餌文檔主要集中在科研相關(guān)通知、基金項(xiàng)目申請(qǐng)、高新科技等主題。個(gè)人所得稅申報(bào)熱點(diǎn)事件期間，毒云藤多次利用該事件主題制作誘餌文檔向多家高校發(fā)起攻擊。海蓮花針對(duì)高校主要采用供應(yīng)鏈攻擊戰(zhàn)術(shù)，瞄準(zhǔn)的供應(yīng)商均為教育行業(yè)頭部企業(yè)。CNC組織在6月中旬我國(guó)航天相關(guān)時(shí)事熱點(diǎn)前后，針對(duì)我國(guó)高等院校、科研機(jī)構(gòu)相關(guān)航天領(lǐng)域進(jìn)行情報(bào)竊取的定向攻擊活動(dòng)。針對(duì)高等學(xué)校攻擊活動(dòng)中涉及科研相關(guān)部分誘餌文檔202105發(fā)布的3批XXX重點(diǎn)專項(xiàng)-含通知.pdf2021年產(chǎn)學(xué)研合作基金項(xiàng)目信息表.xlsx2021年度國(guó)家重點(diǎn)實(shí)驗(yàn)室開(kāi)放課題申請(qǐng)指南.docx2021年海洋試點(diǎn)國(guó)家實(shí)驗(yàn)室科技創(chuàng)新發(fā)展資金預(yù)算說(shuō)明報(bào)告.docx第六屆XXX新材料大會(huì)通知.pdf高超飛行器自適應(yīng)動(dòng)態(tài)規(guī)劃的未來(lái)發(fā)展.docx功能基元序構(gòu)的高性能材料基礎(chǔ)研究重大研究計(jì)劃2021年度項(xiàng)目指南國(guó)家遙感科技簡(jiǎn)報(bào)2020年第4期最新版.pdf軍工、國(guó)防裝備配套需求信息發(fā)布平臺(tái).pdf衛(wèi)星遙感應(yīng)用報(bào)告.pdf葉企孫聯(lián)合基金方向詳細(xì)說(shuō)明.pdfRESEARCHREPORT02.國(guó)防軍工背景高等學(xué)校是重點(diǎn)目標(biāo)基于去年和今年上半年被攻擊的高等學(xué)校統(tǒng)計(jì)，我們發(fā)現(xiàn)理工和綜合類院校共占整體7成，之后主要關(guān)注的是軍事類院校。進(jìn)一步我們深入分析發(fā)現(xiàn)被攻擊的理工和綜合類院校都有比較明顯的共性，即相關(guān)院校大部分都涉及政府、國(guó)防等機(jī)構(gòu)直屬或共建直屬或共建的情況。④⑤35%①理工35%①②綜合34%13%③理工③軍事13%軍事綜合④師范9%⑤其他9%34%被攻擊高等學(xué)校類型占比part05RESEARCHREPORT附錄01

360安全大腦360基于安全大數(shù)據(jù)、知識(shí)庫(kù)和專家，建設(shè)了360網(wǎng)絡(luò)安全大腦和網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施（情報(bào)、漏洞、專家、實(shí)戰(zhàn)、培訓(xùn)、測(cè)繪、開(kāi)發(fā)），以云服務(wù)方式為政府、企業(yè)、個(gè)人用戶提供安全公共服務(wù)，形成了新的安全理念和方法論。360網(wǎng)絡(luò)安全大腦強(qiáng)化了“精準(zhǔn)防控為要、實(shí)戰(zhàn)有效為王”的價(jià)值取向，著眼安全事件的“高效發(fā)現(xiàn)和及時(shí)處置”，理順識(shí)別、防御、監(jiān)測(cè)、預(yù)警、響應(yīng)流程，推動(dòng)一般常見(jiàn)風(fēng)險(xiǎn)及時(shí)處置、高級(jí)重大威脅有效解決、預(yù)防關(guān)口主動(dòng)前移。著眼防范化解重大風(fēng)險(xiǎn)，聚焦最難啃的骨頭、最突出的隱患、最明顯的短板，及時(shí)總結(jié)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防控經(jīng)驗(yàn)，研究開(kāi)發(fā)務(wù)實(shí)有效的安全原生服務(wù)。強(qiáng)化互聯(lián)網(wǎng)體系與政企體系的協(xié)同聯(lián)動(dòng)，讓網(wǎng)絡(luò)安全體系回歸保障業(yè)務(wù)的本質(zhì)。02 研究機(jī)構(gòu)●360高級(jí)威脅研究院360政企安全集團(tuán)的核心能力支持部門，由360資深安全專家組成，專注于高級(jí)威脅的發(fā)現(xiàn)、防御、處置和研究。下設(shè)APT技術(shù)分析、情報(bào)分析、引擎研發(fā)等6個(gè)核心部門，業(yè)務(wù)主要涵蓋了高級(jí)威脅相關(guān)威脅鑒定、溯源擴(kuò)線、監(jiān)測(cè)預(yù)警、智能安全引擎、核心安全技術(shù)推導(dǎo)等多個(gè)關(guān)鍵領(lǐng)域。曾在全球范圍內(nèi)率先捕獲雙殺、雙星、噩夢(mèng)公式等多起業(yè)界知名的0day在野攻擊，獨(dú)家披露多個(gè)國(guó)家級(jí)APT組織的重要攻擊行動(dòng)，贏得業(yè)內(nèi)外的廣泛認(rèn)可，為360保障國(guó)家網(wǎng)絡(luò)安全提供有力支撐。RESEARCHREPORT參考鏈接/blog/index.php/2021/02/10/windows-kernel-zero-day-exploit-is-used-by-bitter-apt-in-targeted-attack/2./s/dMFyLxsErYUZX7BQyBL9YQ3./s/rMgQWQ8uW9foOy60LKtRJw4./s/ELYDvdMiiy4FZ3KpmAddZQ5./s/VTHvmRTeu3dw8HFyusKLqQ6./update-guide/vulnerability/CVE-2021-344487./update-