作者：騰訊安全御見威脅情報中心
來源：https://s.tencent.com/research/report/762.html

騰訊安全御見威脅情報中心根據團隊自己的研究以及搜集的國內外同行的攻擊報告，編寫了該份2019年上半年APT攻擊研究報告。

一、前言

高級可持續性攻擊，又稱APT攻擊，通常由國家背景的相關攻擊組織進行攻擊的活動。APT攻擊常用于國家間的網絡攻擊行動。主要通過向目標計算機投放特種木馬（俗稱特馬），實施竊取國家機密信息、重要企業的商業信息、破壞網絡基礎設施等活動，具有強烈的政治、經濟目的。

整個2019年上半年，網絡攻擊頻發，全球的網絡安全形勢不容樂觀。騰訊安全御見威脅情報中心根據團隊自己的研究以及搜集的國內外同行的攻擊報告，編寫了該份2019年上半年APT攻擊研究報告。根據研究結果，我們認為主要的結論如下：

1、中國依然是APT攻擊的主要受害國，受到來自于東亞、東南亞、南亞、歐美等各個區域的網絡威脅；

2、網絡攻擊形勢跟地域政治局勢有相當密切的關聯，地域安全形勢復雜的地區，往往是APT攻擊最為嚴重和復雜的地區；

3、 APT攻擊不再局限于竊取敏感材料，攻擊目標開始跟民生相關，如阿根廷、委內瑞拉的大斷電等；

4、大量的APT攻擊武器庫的泄露，使得網絡安全形勢更加嚴峻，如軍用網絡武器的民用化等，同時也給安全研究者的追蹤、溯源帶來了一定的困難。

二、2019年上半年攻擊概覽

2019年上半年來，網絡安全大事頻發，APT攻擊也持續高發，為了掌握APT攻擊在全球的活動情況，騰訊安全御見威脅情報中心針對全球所有安全團隊的安全研究報告進行研究，并提取了相關的指標進行持續的研究和跟蹤工作。同時，我們針對相關的研究報告進行了一個梳理和歸納，經過不完全統計，2019年上半年，全球共有42個安全廠商共計發布了144篇APT攻擊報告，其中有7家中國的的安全廠商發布了43篇攻擊報告，報告數量同步2018年增長了近5成。由于安全公司眾多，監測可能有所遺漏，敬請諒解。我們也只選取了有具體攻擊活動和明確組織信息的報告做為統計和比對。

圖1：國內外主要安全廠商披露APT數量

2019年上半年，國內共有7家安全廠商披露了43篇攻擊報告，共涉及APT攻擊組織26個，其中海蓮花被披露的次數最多，共計7次，其次為污水（MuddyWater），共計5次。

圖2：國內安全廠商披露的主要APT組織攻擊事件數量

從被攻擊地域分布來看，根據騰訊安全御見威脅情報中心的統計顯示（不含港澳臺地區），2019年上半年中國大陸受APT攻擊最多的地區為廣西和北京，此外還有遼寧、云南、海南、四川、廣東、上海等。詳見下圖（不含港澳臺地區）。

圖3：2019年上半年中國大陸被APT攻擊的地區分布圖

而從行業分布來看，2019年上半年針對中國大陸的攻擊中，主要受攻擊對象包括政府部門、國有企業、科研機構等，具體分布如下：

圖4：國內被攻擊目標屬性分布

三、中國面臨的APT攻擊形勢

中國歷來都是APT攻擊的主要受害者，隨著中國經濟的快速發展，以及國際地位的不斷攀升，中國面臨的外部威脅形勢更加嚴峻。根據騰訊安全御見威脅情報中心的監測以及公開的報告和資料，我們將在2019年上半年對中國大陸有過攻擊的組織按疑似的地理位置分為東北亞方向、東亞方向、東南亞方向、南亞方向、其他方向。

組織歸屬地	代表
東亞	DarkHotel、Group123（APT37）、Lazarus、窮奇（毒云藤）
東南亞	海蓮花（APT32）
南亞	BITTER（蔓靈花）、白象、Gorgon Group
其他	方程式

表1：2019年上半年攻擊中國的APT組織地域分布

3.1 東亞方向的威脅

東亞的威脅主要來自朝鮮半島等地區，此方向組織具有很強的政治背景，常攻擊我國政府、外貿、金融、能源等領域的公司、個人及相關科研單位，該方向黑客組織十分龐大，往往呈集團化運作。最典型的攻擊組織代表就是DarkHotel、Group123（APT37）、Lazarus、窮奇（毒云藤）等。2019年以來，這幾個典型組織都比較活躍。

3.1.1 DarkHotel

DarkHotel組織旗下的寄生獸長期對我國外貿公司進行持續性攻擊，在2019年上半年再次針對中國的外貿企業進行了攻擊活動。該組織具有強大的木馬開發能力和0day漏洞利用能力，持續與國內主流安全軟件進行安全對抗。新版的寄生獸木馬依然使用寄居在正常的文件中疑似通過水坑來感染目標系統，與以往不同的是，以前是通過將大量開源代碼加入到木馬工程中編譯以實現隱藏惡意代碼的目的，今年則出現通過替換正常的軟件文件來實現劫持的目的，更加隱蔽和難以清理。

圖5：捆綁有寄生獸木馬的網易郵箱大師程序

感染目標系統后，通過下發惡意插件的方式，對被控機器進行持久性攻擊，插件如下：

插件名	功能
rmet_x64/ rmet_x86	Meterpreter，用于遠程控制，持續滲透
mkmfc.dll	鍵盤記錄插件，本插件用于鍵盤記錄，記錄按鍵信息、窗口標題、時間
weepyll_x64.dll	內網滲透插件，主要用于橫向移動
hird.dll	用于用于竊取數據庫文件
nksen.dll	用于屏幕監控
igfxrot.exe/TiWork.exe	開源遠程控制木馬XRAT，該遠控可以進行鍵盤記錄、遠程下載執行惡意文件、上傳文件、反向代理等功能

表2：寄生獸下發插件的功能列表

3.1.2 Group123（APT37）

該組織疑似朝鮮半島某國政府背景，經常攻擊國內的外貿公司、在華外企高管，甚至政府部門。該組織最常使用魚叉釣魚郵件進行定向攻擊，使用Nday或者0day漏洞進行木馬捆綁和偽裝。在拿下目標及其后會嘗試橫向移動以及對根據系統信息發現定制模塊，常使用dropbox等公共網絡資源作為C2、中轉、存儲等。2019該組織仍然十分活躍。

圖6：Group123的攻擊誘餌

圖7：Group123組織針對特定計算機下發的定制化模塊

3.1.3 窮奇（毒云藤）

窮奇組織是一個對我國持續攻擊時間長達數十年的老牌APT組織，該組織的攻擊活動在2015年左右達到高峰，之后的活動慢慢減少，2019年以來該組織活動減少了很多，攻擊頻次和攻擊范圍都大大縮小，但其依然保持活動，如今年3月份，該組織就使用編號為CVE-2018-20250的WinRAR ACE漏洞向中國大陸數十個重點目標投遞了多個RAT木馬。投遞的RAT木馬核心與3年前的版本相比除了配置信息外并未發現新的功能性更新，由此也可印證該組織的活躍度確實在下降。

圖8：窮奇組織的釣魚郵件

圖9：帶有CVE-2018-20250漏洞的壓縮包附件

圖10：解壓后釋放的惡意文件

圖11：解壓后的正常文件

3.2 東南亞方向的威脅

東南亞方向的威脅，最典型的代表就是海蓮花（APT32、OceanLotus），該組織是近年來針對中國大陸攻擊最頻繁的組織，甚至沒有之一。其攻擊的目標眾多且廣泛，包括政府部門、大型國企、金融機構、科研機構以及部分重要的私營企業等。該組織攻擊人員非常熟悉我國，對我國的時事、新聞熱點、政府結構等都非常熟悉，如剛出個稅改革時候，就立馬使用個稅改革方案做為攻擊誘餌主題。此外釣魚主題還包括績效、薪酬、工作報告、總結報告等。

2019上半年以來海蓮花組織以更大規模對更廣領域進行持續攻擊，大量國內企業單位目標整個內網淪陷，攻擊方式依舊以使用電子郵件投遞誘餌的方式實施魚叉攻擊為主，投遞的誘餌類型則是多種多樣，有白加黑、lnk、chm、漏洞利用office文件、WinRAR ACE漏洞文件、文檔圖標的exe等。一旦獲取到一臺機器控制權限后，立即對整個內網進行掃描平移滲透攻擊。

圖12：海蓮花的釣魚郵件

圖13：海蓮花使用的攻擊誘餌

在安全對抗上，海蓮花也表現得十分活躍，其技術更新十分頻繁，且大量針對國內安全軟件。如在啟動方式上，上半年出現了通過修改doc、txt等文檔文件類型關聯程序的方式來實現開機自啟動；通過在資源中添加大量的垃圾數據，充大文件體積來防文件上傳；通過com組件來添加注冊表從而繞過安全軟件主動防御的技術。

圖14：在資源中添加大量垃圾數據

圖15：添加大量垃圾數據后的文件大小

而在受害機器上的持久化文件，白加黑依然是海蓮花組織最喜歡用的方式之一，以下是近半年該組織最常用的“白加黑”組合：

白文件原名	白文件MD5	黑DLL文件名
iTunesHelper.exe	3723c94f7e6b91e60b74e7eeea6796**	AppleVersions.dll
SGTool.exe	5fc69418b80385e8c41cfd76b427c1**	inetmib1.dll
Rar.exe	35bb768e6ee6c8a1462e11cf0be2a9**	ldvptask.ocx
GoogleUpdate.exe	0545a3eb959cfa4790d267bfb8c1ac**	goopdate.dll
360se.exe	a16702ed1812ddc42153ef070f3dfd**	chrome_elf.dll
winword.exe	ceaa5817a65e914aa178b28f12359a**	wwlib.dll
rekeywiz.exe	ca0537448557b9055ea660c08d76f7**	mpr.dll

表3：海蓮花常用的白加黑組合

2019上半年海蓮花出現的另一個顯著的新變化則是對常駐文件進行機器綁定處理，實現木馬與受害機器綁定，即使用計算機名對木馬payload進行加密，這樣如果樣本被拷貝到其他機器，如分析取證人員的電腦，則無法解密出payload而無法分析樣本具體行為，對于最終的payload，Denis、Cobalt Strike、類gh0st依然是該組織最喜歡使用的RAT，且會根據目標的價值信息，選擇不同的RAT組合。

圖16：海蓮花特馬的payload加密結構

圖17：海蓮花特馬的payload解密流程

3.3 南亞方向的威脅

南亞方向的攻擊組織對中國大陸的攻擊活動已經持續了近10年，代表組織有BITTER（蔓靈花）、白象（摩訶草、Patchwork、HangOver）、Gorgon Group等。而BITTER、白象等組織之間又存在某些相似和關聯，這一點在我們以往的報告中也有所提及。2019年上半年，該方向的組織依然活躍，持續有針對中國政府部門、軍工、核能企業以及外貿、鋼鐵行業進行攻擊的案例。

3.3.1 BITTER（蔓靈花）

BITTER（蔓靈花）也是對中國大陸進行攻擊的比較頻繁的一個攻擊組織，攻擊目標包括外交相關部門、軍工、核能等企業。御見威脅情報中心曾在2018年12月詳細的披露過該組織的攻擊活動和技術細節，以及和白象等組織的關聯關系。2019年上半年該組織的技術特點跟之前的類似，未發現有明顯的改進。

圖18：蔓靈花的攻擊誘餌文件

圖19：蔓靈花的釣魚頁面

3.3.2 白象

白象組織，也叫摩訶草、Patchwork、HangOver，也是經常針對中國大陸進行攻擊的組織，除了中國大陸的目標外，巴基斯坦也是該組織的主要目標。該組織的攻擊活動以竊取敏感信息為主，最早可以追溯到2009年11月，至今還非常活躍。在針對中國地區的攻擊中，該組織主要針對政府機構、科研教育領域進行攻擊。該組織的常用特馬包括badnews、qrat等。

2019年上半年，雖然該組織頻繁的針對巴基斯坦、孟加拉等目標進行了攻擊活動，但是針對中國大陸的攻擊相對比較平靜。但是我們也有發現該組織旗下的badnews特馬所使用的github等公共平臺的配置的C2在2019年也進行了頻繁的更新。

圖20：白象的badnews特馬所配置C&C的頁面

可以看到，真正的C&C地址，使用的是拼音，很有中國特色：

圖21：白象的badnews特馬C&C通信包

命令號	功能
0	退出木馬進程，結束控制
8	獲取鍵盤記錄：上傳TPX498.dat，即鍵盤記錄文件
23	獲取截屏：截屏并存儲為TPX499.dat，并上傳
13	上傳文件：讀取指定文件內容寫入到AdbFle.tmp，并上傳
4	獲取文檔文件目錄列表：上傳edg499.dat并刪除，再運行一次木馬自身
5	上傳指定路勁的文件
33	下載文件：從指定URL下載文件，并執行

表4：badnews特馬的命令號和功能

3.3.3 Gorgon Group

Gorgon Group是一個比較特殊的攻擊組織，該組織主要針對包括中國在內的全球外貿人士進行攻擊，行為類似于騰訊安全御見威脅情報中心多次披露的"商貿信"。但是特別的是，Gorgon Group還被發現有針對英國、西班牙、俄羅斯、美國等政治目標發起過定向攻擊。該組織最早在2018年8月份由Palo Alto的Unit42團隊進行了披露。

該組織主要的武器庫為一些公開的商用的RAT木馬，包括Azorult RAT、Revenge RAT、NjRAT、Lokibot等。同時該組織還喜歡使用Bitly短域名，以及使用公開的blog和臨時分享文本站點pastebin來存儲攻擊代碼。

2019年上半年，該組織依然持續的對全球的外貿人士進行了攻擊，當然中國的外貿人士也包含在內。主題包括訂單、邀請函、快遞等等。

圖22：使用pastebin存儲攻擊代碼

圖23：使用blogspot存儲攻擊代碼

3.4 其他方向的威脅

其他方向的威脅主要來自歐美國家，典型代表如方程式、Turla等。其中方程式組織被曝光于2015年初，其活動時間最早可追溯至2001年，在2017年時，該組織被Shadow Brokers（影子經紀人）組織黑吃黑攻陷，幾乎全部資料外泄。從曝光的材料來看其擁有強大的漏洞利用能力，且多個0day漏洞已使用數年之久，包括后來被WannaCry木馬利用的“永恒之藍”漏洞都是出自該組織之手，根據曝光的信息，中國有大量的重要目標被該組織貢獻，總數位列所有被攻擊國家之首。該組織的攻擊方式大多從重要目標防火墻、路由器等入手，通過漏洞層層植入木馬，技術手段十分高超，因此長時間未被發現。從方程式被曝光之后，該組織未被發現有新的活動跡象，可能是該組織另起爐灶，完全使用新的木馬進行攻擊，也可能是使用更先進的技術使得自己更加隱蔽，我們也在持續挖掘很跟進中。

可以看到，被方程式組織攻陷的目標，位于中國的最多：

圖24：方程式攻擊目標發布

而APT28、Turla組織被認為具有俄羅斯政府背景，其攻擊目標以政治目的為主，有攻擊國內目標的歷史，但是在2019年上半年未發現其針對我們的活動跡象。因此不再具體描述。

四、國際APT攻擊形勢

高級持續性威脅（APT）被認為是地緣政治的延伸，甚至是戰爭和沖突的一部分，APT的活躍趨勢也跟地緣政治等全球熱點密切相關，全球APT攻擊高發區域也是全球地緣政治沖突的敏感地域。2019年以來，國際形勢瞬息萬變且復雜，好多地區甚至都在戰爭的邊緣，如美伊、印巴、委內瑞拉等。跟根據我們對2019年上半年APT攻擊活動的分析，這些高危地區也恰恰是APT攻擊活動的主要活躍地帶。從而可知，網絡戰也慢慢變成國家間的政治博弈甚至是現代戰爭的重要部分。

跟之前的年度報告一樣，我們依然把針對全球的威脅根據攻擊組織的歸屬地，分幾個重點的區域來進行描述，具體如下：

組織歸屬地	活躍代表
東亞	Group123（APT37）、Lazarus、Hermit、Kimsuky
南亞	BITTER（蔓靈花）、白象、SideWinder（響尾蛇）、Donot Team（肚腦蟲）、TransparentTribe（ProjectM）
中東	APT34、MuddyWater
歐洲	APT28、Turla、Gamaredon、Buhtrap

表5：根據地域分布的全球威脅概況

4.1 東亞地區

東亞地區的威脅主要來自朝鮮半島，雖然從2018年開始，半島關系開始緩和，但是網絡攻擊并未停止腳步。主要的代表包括Hermit、Group123、Lazarus等。

4.1.1 Hermit和Kimsuky

Hermit攻擊活動主要針對區塊鏈、數字貨幣、金融目標等，但是我們也發現了同樣針對朝鮮相關的外交實體的一些攻擊活動。該組織的攻擊活動騰訊安全御見威脅情報中心曾在2018年下半年進行了詳細的披露，在2019年上半年我們同樣捕捉到了該組織的多次攻擊活動，同樣發布了詳細的攻擊報告。

該組織旗下的特馬包括SYSCON/Sandy、KONNI等。而根據國外的安全公司ESTsecurity的報告，該組織跟另一個攻擊組織Kimsuky組織有一定的關聯。

圖25：KONNI和Kimsuky的代碼流程示意圖（引用自ESTsecurity報告）

該組織2019年上半年的新活動，跟之前的活動相比，技術手段類似，但是也有一定的更新，如通過下載新的doc文檔來完成后續的攻擊以及使用AMADEY家族的木馬。而最終目標依然為運行開源的babyface遠控木馬。此外，傳統的Syscon/Sandy家族的后門木馬也依然活躍。

圖26：2019年上半年Hermit活動的釣魚誘餌文檔

圖27：2019年上半年Hermit活動的釣魚誘餌文檔

圖28：2019年上半年Hermit活動所使用的后門AMADEY后臺

而同樣Kimsuky也是2019年上半年在半島地區活動異常頻繁的攻擊組織，該組織的攻擊對象主要是跟朝鮮相關的政治目標，而釣魚誘餌往往是當前的政治熱點內容。攻擊誘餌有很大一部分是hwp文檔。

圖29：Kimsuky的攻擊誘餌信息（引用自ESTsecurity報告）

圖30：Kimsuky某次攻擊活動的攻擊流程圖（引用自ESTsecurity報告）

4.1.2 Lazarus

Lazarus組織被認為是朝鮮最著名的攻擊組織，該組織被認為是攻擊索尼公司、孟加拉國銀行等攻擊活動的幕后黑手，甚至連震驚全球的Wanacry勒索病毒事件也被認為是該組織所為。

近些年來，該組織主要目標包括金融公司、虛擬貨幣交易所等目標。而在2019年上半年，該組織就對新加坡的DragonEx交易所、OKEX交易所等目標進行了攻擊活動。

圖31：GragonEX交易所發布的攻擊公告

4.2 南亞地區

南亞地區的威脅，主要集中在印巴之間。而印巴之間的關系一直以來都比較緊張，在過去的多年，圍繞克什米爾地區，沖突不斷。進入2019年來，沖突持續升級。

隨著政治上的關系惡化，該地區的網絡戰在同時期也進入了一個高潮。代表組織主要有BITTER（蔓靈花）、白象、Donot（肚腦蟲）、SideWinder（響尾蛇）、TransparentTribe等。

4.2.1 SideWinder（響尾蛇）

SideWinder（響尾蛇）為疑似來自印度的 APT 攻擊組織，該組織持續針對巴基斯坦等南亞國家的軍事目標進行了定向攻擊。該組織最早被騰訊安全御見威脅情報中心在2018年進行了披露，而根據騰訊安全御見威脅情報中心對該組織的攻擊溯源結果來看，該組織的最早的攻擊活動可以追溯到 2012 年。而在2019年2月，騰訊安全御見威脅情報中心再次詳細披露了該組織的一些攻擊活動。

在2019年上半年，該組織的攻擊活動也并未停止，相反還比較活躍。但是技術上并未有太大的改變，相關的攻擊技術細節可以參考騰訊安全御見威脅情報中心之前的詳細分析報告。

圖32：SideWinder的釣魚郵件

圖33：SideWinder的釣魚誘餌內容

該組織的特馬主要采用VB編寫，后門功能包括收集用戶信息、記錄鍵盤和鼠標的操作等。并且使用白加黑的手段來進行加載。如常用的：

圖34：SideWinder組織常用的白加黑組合

圖35：SideWinder組織常用的VB后門代碼框架

4.2.2 白象

白象主要攻擊巴基斯坦的政府部門、科研機構等。2019年上半年頻繁的針對巴基斯坦的目標進行了攻擊。騰訊安全御見威脅情報中心也披露了白象的攻擊活動。

圖36：白象的攻擊誘餌

圖37：白象的攻擊誘餌內容翻譯

圖38：保存受害者信息的FTP地址

此外，白象還頻繁的使用badnews后門對巴基斯坦的目標進行了攻擊活動：

圖39：白象的攻擊誘餌

圖40：白象的攻擊誘餌

圖41：github上存儲C&C信息的頁面

4.2.3 Donot（肚腦蟲）

Donot Team是2018年被曝光的APT攻擊組織，最早在2018年3月由NetScout公司的ASERT團隊進行了披露，隨后國內的廠商奇安信也進行了披露。該組織主要針對巴基斯坦進行攻擊活動。

2019年上半年該組織也相當活躍，對巴基斯坦的目標進行了多次的攻擊活動：

圖42：Donot Team的攻擊誘餌

圖43：Donot Team的攻擊誘餌執行的bat內容

除了擁有PC端上的攻擊能力，該組織同樣擁有移動端的攻擊能力：

圖44：Donot Team的安卓木馬的流程（引用自奇安信博客的分析）

4.2.4 TransparentTribe

TransparentTribe APT組織，又稱ProjectM、C-Major，是一個來自巴基斯坦的APT攻擊組織，主要目標是針對印度政府、軍事目標等。該組織的活動最早可以追溯到2012年。該組織的相關活動在2016年3月被proofpoint披露，趨勢科技隨后也跟進進行了相關活動的披露。

2019年上半年，該組織也對相關目標進行了多次攻擊活動：

圖45：TransparentTribe的攻擊誘餌

事項	說明
攻擊目標	印度政府、軍事目標等
投遞方式	魚叉攻擊
誘餌類型	帶有VBA宏的doc、xls文檔等。并且把相關的內容和惡意文件以整形的數據形式存放在窗體控件中。
誘餌內容	以攻擊目標感興趣的新聞和通知等內容
特馬家族	CrimsonRAT、.net loader、.net droper、PeppyRAT
攻擊目的	竊取相關資料文件

表6：TransparentTribe組織的TTPs整理

而經過騰訊安全御見威脅情報中心的數據溯源，該組織疑似跟巴基斯坦另外一個組織Gorgon Group有一定的關聯：

圖46：TransparentTribe和Gorgon關聯示意圖

4.3 中東地區

中東地區向來是世界局勢的火藥桶，該地區是世界上政治最復雜的地區。此外，大量的恐怖襲擊、局部沖突等也在此地區大量的出現。隨之而來的是，該區域的網絡安全形勢也非常復雜和嚴峻，是整個2019年上半年，網絡攻擊最頻繁、最為熱鬧的地區。

該地區的攻擊組織力量主要以伊朗的攻擊組織為主，包括MuddyWater、APT34、DarkHydrus等。

4.3.1 MuddyWater

MuddyWater（污水）APT組織是2019年上半年曝光度最高的APT組織，也是2019年上半年全球最活躍的APT攻擊組織，國內外多家安全公司都曝光過該組織的一些攻擊行動，安全社區里也有大量的安全研究人員討論該組織攻擊活動。騰訊安全御見威脅情報中心也多次曝光過MuddyWater組織的攻擊活動。

MuddyWater組織是一個疑似來自伊朗的攻擊組織，該組織的攻擊目標主要集中在中東地區以及包括塔吉克斯坦、白俄羅斯等在內的前蘇聯國家，攻擊的對象主要集中在外交部、國防部等政府部門。

MuddyWater組織偏愛使用采用模糊顯示以及宏代碼加載的誘餌文件。并在2019年更新了其攻擊TTPs，如宏代碼拼接內置硬編碼字符串寫入VBE；利用注冊表，自啟動文件夾啟動VBE等，此外在受害者選擇上也更為精確，通過第一階段后門反饋的受害者信息挑選目標進行下一步持久化等。

圖47：MuddyWater針對塔吉克斯坦攻擊的誘餌文檔

圖48：MuddyWater組織的BlackWater的攻擊活動

圖49：MuddyWater組織使用的powershell后門

而令人意外的是，2019年5月初，有人在telegram上售賣MuddyWater早期的C&C服務端的代碼，隨后被泄露。而該信息跟2019年4月趨勢科技關于MuddyWater的報告中提到的他們監控到該組織在telegram泄露了C&C服務端源代碼和受害者信息相吻合。

圖50：在telegram上售賣的MuddyWater服務端源碼

圖51：MuddyWater服務端運行后界面

4.3.2 APT34

APT34，又被成為OilRig，同樣是被認為是來自伊朗的APT攻擊組織。跟MuddyWater一樣，在2019年上半年，APT34所使用的攻擊工具，也被黑客泄露。該泄露事件雖然未引起像之前Shadow Brokers（影子經紀人）泄露NSA工具包那樣來的轟動，但是也在安全界引起了不少的關注和討論。

圖52：APT34的工具包的完整文件目錄

可以看到，里面的被攻擊目標包括阿聯酋、科威特、約旦等。此外工具包里還包括了一份webshell列表，其中也包括多個中國網站的webshell：

圖53：APT34的工具包里泄露的webshell列表

4.4 歐洲地區

該地區主要以東歐的攻擊組織為代表，如APT28、Turla、Gamaredon等。而2019年上半年，這些攻擊組織也主要圍繞以烏克蘭為主的東歐地區開展了網絡攻擊活動。

4.4.1 Gamaredon

Gamaredon group是2017年第一次被披露的一個疑似俄羅斯政府背景的黑客組織，其活動最早可追溯至2013年。該組織常年攻擊烏克蘭政府、國防、軍隊等單位。2019年以來，我們又陸續發現了大量針對烏克蘭政府部門的魚叉攻擊惡意郵件，誘餌文件內容主要包括烏克蘭議會、法院調查文件、克里米亞等時政熱點問題。

圖54：Gamaredon組織的釣魚攻擊郵件

圖55：Gamaredon組織的釣魚攻擊誘餌內容

4.4.2 APT28

我們在2018年的年終報告里提到了APT28是2018年最為活躍的攻擊組織。而在2019年上半年，該組織的攻擊活動相比2018年有所減少，但是依然相當活躍，并發起了多次的攻擊活動。如2019年3月，該組織使用0day漏洞攻擊了烏克蘭政府，疑似試圖干預烏克蘭大選。

圖56：APT28組織所使用的攻擊誘餌文檔

而該組織的攻擊武器庫也非常強大，使用的語言也非常豐富，包括delphi、C#、C++、GO語言等。

4.4.3 Turla

Turla，又名Snake，Uroburos，Waterbug，被認為是來自俄羅斯的APT攻擊組織，該組織從2007年開始活躍至今。該組織的攻擊目標包括歐盟的一些政府目標，如外交實體，也包括一些私營企業。

在2019年上半年，國外安全公司ESET曝光率該組織使用新的powershell武器針對東歐的外交實體進行了攻擊活動。

圖57：Turla的攻擊目標（引用ESET關于Turla的報告）

圖58：Turla的攻擊流程示意圖（引用ESET關于Turla的報告）

五、威脅變化趨勢及未來預測

5.1 網絡攻擊民生化

隨著基礎設施的智能化，給了通過網絡攻擊破壞電力、交通、能源等領域的能力。而2017年的烏克蘭大停電被烏克蘭安全部門確認為是一起針對電力公司的網絡惡意攻擊事件，攻擊者是APT組織BlackEnergy。而2019年南美洲的委內瑞拉大停電也被認為可能是黑客攻擊導致，近期南美洲的阿根廷、烏拉圭也相繼發生全國性大規模停電，其背后可能也與電力公司遭遇網絡攻擊相關。隨著數字化智能化的普及，未來在交通、能源、通訊等各個領域都可能遭遇APT攻擊威脅，影響大規模民生的系統都應在網絡安全上早做防備。

5.2 網絡攻擊軍事化

伊朗擊落無人機，美伊網絡戰，近日，中東局勢的惡化，美國無人機在偵查時被伊朗導彈擊落，隨后美國發動網絡攻擊進行報復，據悉網絡攻擊由美國網絡司令部發起，伊朗的導彈控制系統也成為美方攻擊的目標，這些攻擊意在回應針對油輪的攻擊以及美國無人機被擊落的事件，隨著戰場無人化的發展，可以預見的未來網絡攻擊的軍事屬性會越來越強。

5.3 APT武器民用化

席卷全球的 Wannacry 勒索軟件事件還記憶猶新，該木馬最核心的部分為當年泄漏不久的網絡核武庫“永恒之藍”漏洞，該漏洞原本由方程式組織使用多年，但因為方程式組織被Shadow Brokers組織攻擊導致包括多個0day漏洞在內的資料全部外泄，從而導致原本軍工級的網絡武器被被用于攻擊平民，造成了嚴重的危害，而這種事情一直都在發生：

圖59：近些年來的APT武器庫的泄露情況

而APT攻擊武器的泄露，也導致了APT武器的民用化，如大量的僵尸網絡使用“永恒之藍”漏洞進行傳播。

5.4 攻擊溯源復雜化

APT組織之間互相偽裝，通過代碼和基礎設施都難以確定組織歸屬，部分組織尤其是朝鮮半島的APT組織之間互相偽裝，特意在自己的代碼中加入對方木馬的特征，以迷惑對方及安全分析人員，而公共基礎設施的利用，如SYSCON使用免費FTP作為C&C服務器，Group123組織使用dropbox作為C&C服務器，而使用CDN作為C&C流量中轉的攻擊也已經出現。

隨著各國對網絡安全越來越重視，未來攻擊者可能會花費更多的精力在自己身份的隱藏和偽裝上，這樣會給威脅溯源增加更大的困難。