國家級APT（Advanced Persistent Threat，高級持續性威脅）組織是有國家背景支持的頂尖黑客團伙，專注于針對特定目標進行長期的持續性網絡攻擊。

　　2021 年上半年，網絡武器威力和攻擊規模持續增大，可能是近年來APT攻擊活動最黑暗的半年。全球 APT 組織為達到攻擊目的，不惜花費巨額資金和人力成本， 使用的在野0day 漏洞數量陡然劇增，出現的頻次之高為歷年罕見。

　　在新冠疫情、地緣政治等復雜背景下，針對我國的高級威脅持續不斷。2021 年上半年，毒云藤、蔓靈花、 海蓮花等國家級攻擊組織，持續針對我國境內開展攻擊 活動。奇安信威脅情報中心近期盤點來針對我國的全球 APT 組織。

　　一、 南亞篇

　　1、摩訶草（APT-Q-36）

　　【組織概述】

　　摩訶草組織是 Norman  2013 年披露并命名的APT 組織。其最早攻擊活動可以追溯到 2009 年11 月， 該組織主要針對中國、巴基斯坦等亞洲地區和國家進行網絡間諜活動。

　　在針對中國地區的攻擊中，主要針對政府機構、科 研教育領域進行攻擊。具有 Windows、Android、Mac OS 多系統攻擊的能力。

　　【攻擊事件】

　　2018 年春節前后，某政府單位收到一些帶有惡意 下載鏈接的釣魚郵件，郵件內容與其工作相關，一旦目 標用戶下載并打開 office 文檔，則會觸發漏洞 CVE- 2017-8570 并執行惡意腳本，最終下載遠控木馬導致 主機被控。

　　此外，摩訶草組織在本次攻擊活動中注冊了大量與 我國敏感單位 / 機構相關的相似域名，以對我國特定的領 域進行定向攻擊。奇安信威脅情報中心通過對此次攻擊 活動中大量網絡資產分析發現，其中一個 IP 地址曾在摩 訶草歷史的攻擊活動中被披露使用，因此將此次攻擊的幕后團伙判定為摩訶草 APT 組織。

　　2、蔓靈花（APT-Q-37）

　　【組織概述】

　　蔓靈花（Bitter）最早由國外安全廠商 Forcepoint 于 2016 年命名。研究人員發現其 RAT 變種在進行網絡 通信時往往包含有“BITTER”字符，故將行動命名為 BITTER。該組織至少自 2013 年 11 月開始活躍，長期 針對中國及巴基斯坦的政府、軍工、電力、核等部門發動網絡攻擊，竊取敏感資料。

　　【攻擊事件】

　　2018 年 1 月，某工業大廠員工收到一份釣魚郵件， 郵件聲稱來自該廠信息技術中心，提醒員工郵件賬戶登 錄異常，并要求員工通過“安全鏈接”驗證郵件賬戶。該“安全鏈接”為高度仿造的企業郵箱登錄頁面，目標 用戶在此頁面輸入賬號密碼后將被攻擊者收集用于向帳 戶內的其他用戶發送帶有病毒附件的郵件。附件被執行 后將導致機器被種植后門木馬。

　　奇安信威脅情報中心通過對釣魚鏈接的域名跟 蹤分析，發現國內疑似被攻擊的組織機構還包括中國 XXXX 集團有限公司、中國 XX 對外工程有限公司以及 XXXXXX 大學。

　　經過關聯分析，奇安信威脅情報中心發現此次攻擊 活動中偽裝成 JPG 圖片的惡意樣本釋放的誘餌圖片與蔓 靈花組織在 2016 年的攻擊活動中所使用的誘餌圖片完全一致。此外，此次攻擊活動發現的后門程序中查找 avg 殺軟的相關代碼片段與蔓靈花組織使用的相關代碼片段 也存在高度相似性。因此將此次攻擊活動判定為蔓靈花 APT 組織所為。

　　3、魔羅桫（APT-Q-39）

　　【組織概述】

　　Confucius 組織是 Palo Alto Networks Unit 42 于2017 年 10 月發現的攻擊團伙，該團伙主要使用網絡釣 魚郵件針對巴基斯坦目標實施攻擊。

　　2017 年末趨勢命名 Confucius 為APT組織，并分 析了其與 Patchwork 存在一些聯系。趨勢科技表示，至少從 2013 年就發現該組織活躍，使用 Yahoo! 和 quora 論壇作為 C&C 控制器，該組織可能來自于南亞。該組 織擁有對 Windows，Android 的攻擊惡意代碼，并常用 Delphi 作為其 Dropper 程序。

　　從奇安信威脅情報中心內部的威脅情報數據分析來 看，這兩個組織可以通過相似的 Delphi Dropper 程序使 用的控制域名聯系到一起。但其與摩訶草的主要不同在 于攻擊目標主要以巴基斯坦和印度為主，并通常偽裝成 俄羅斯的來源。

　　APT-Q-39屬于攻擊境內目標的境外組織，奇安信威脅情報中心對APT-Q-31組織的命名為魔株系——魔羅桫，“魔羅”出自該組織的地域教派神話，意為亂人事者?！拌眲t象征該組織的地緣及文化特征。

　　【攻擊事件】

　　2020 年 9 月，奇安信威脅情報中心披露了來自南亞地區的定向攻擊：提菩行動。在此次活動中，攻擊者使用了多種攻擊手法例如：釣魚郵件 + 釣魚網站、釣魚郵件 + 惡意附件、木馬文件投放、安卓惡意軟件投放，其中還包括部分商業、開源木馬的使用以增加分析人員的 溯源難度。

　　通過對提菩行動的攻擊目標側分析發現，此次攻擊活動主要針對中國、巴基斯坦、尼泊爾等地的航空航天技術部門、船舶工業業、核工業 （ 含核電 ）、商務外貿、國防軍工、政府機關 （ 含外交 ）、科技公司。其主要目的為竊取特定國家的核心國防軍工技術。

　　奇安信威脅情報中心紅雨滴團隊基于內部大數據平臺，對此次攻擊活動中使用的惡意軟件分析后發現， AsyncRat 回連的C2可關聯到多個魔羅桫組織曾用特馬，且部分樣本曾被用于針對巴基斯坦緝毒部的攻擊 中。

　　此外，研究人員還追蹤到此次攻擊活動中的SFX類型樣本與魔羅桫歷史針對巴基斯坦WIL兵工廠活動中的樣本同源。因此，奇安信對此次活動背后的組織判別為境外APT 組織魔羅桫。

　　二、 東南亞篇

　　4、海蓮花（APT-Q-31）

　　【組織概述】

　　海蓮花組織是奇安信于 2015 年披露并命名的APT 組織。該組織自 2012 年 4 月起，針對中國政府、 科研院所、海事機構、海域建設、航運企業等相關重要領域展開了有組織、有計劃、有針對性的長時間不間斷攻擊。

　　APT-Q-31 屬于攻擊境內目標的境外組織，奇安信威脅情報中心對 APT-Q-31 組織的命名為魔株系——海蓮花，“蓮花”是表現了該組織的地緣及文化特征，“?！眲t主要表現了該組織以海洋領域為主要攻擊目標的活動特征。

　　【攻擊事件】

　　2020 年 12 月，奇安信態勢感知與安全運營平臺

　?。∟GSOC）在客戶側發現多臺終端電腦與特定端口進 行數據交互，研究人員在對交互數據分析后發現綁定在 該端口通信的協議是一個沒有驗證加密的私有協議，對 該協議數據進行逆向解密之后發現這是一些高危的指令， 如修改管理員密碼。

　　在經過層層分析和定位之后，奇安信研究人員發現這是一起供應鏈攻擊，攻擊者通過在安全終端管理軟件 中植入一段惡意代碼，使得 18 年 9 月份之后的安全終端管理軟件版本均有該代碼塊，且安裝文件帶有廠商數字簽名。內網中任意 IP 的機器均可無需驗證向安裝了該終 端軟件的機器發送命令并執行。

　　這種源代碼污染供應鏈攻擊非常隱蔽，奇安信天擎在 2020 年12 月更新病毒庫之后掃描出了所有被植入木馬的終端設備，經過供給鏈還原最終確認此攻擊事件的 發起組織為海蓮花。

　　三、東亞篇

　　5、Darkhotel（APT-Q-10）

　　【組織概述】

　　Darkhotel組織是Kaspersky2014年披露的APT組織。該組織主要針對國防工業基地、軍事、能源、 政府、非政府組織、電子制造、制藥和醫療等部門的公司高管、研究人員和開發人員。其因擅長使用酒店網絡跟蹤和打擊目標而得名。

　　【攻擊事件】

　　2019 年 7 月，攻擊者針對國內多個重點單位網絡資產進行信息收集，通過 Web漏洞入侵暴露在互聯網上的內部系統后臺登錄頁面并植入 IE 0day 漏洞以構造水坑攻擊，相關單位網站管理員訪問后臺頁面觸發漏洞并被植入木馬后門導致計算機被控、機密信息泄漏。

　　2020 年 2 月，奇安信威脅情報中心紅雨滴團隊監測到上述多個重點單位的內部系統管理登錄頁面被植入惡 意代碼以執行水坑攻擊。研究人員在深入分析被植入的 代碼后，確認此次事件背后的攻擊團伙為境外 APT 組織 Darkhotel。

　　通過奇安信威脅情報中心大數據關聯分析后發現，攻擊者使用的微軟 IE 瀏覽器漏洞 CVE-2019-1367 利 用代碼在2019 年7 月19 日就被上傳至被攻擊的服務器， 而該漏洞微軟在 2019 年 9 月份才修補，因此在攻擊發生的當時漏洞還處于0day 漏洞狀態，研究人員推斷， Darkhotel最晚在2019 年7月就利用 0day 漏洞對我國 執行了針對性的攻擊。

　　6、虎木槿（APT-Q-11）

　　【組織概述】

　　虎木槿是疑似來自東北亞的APT 組織，使用的惡意代碼有著很強的隱蔽性，且具備 0day漏洞發掘利用能力，曾通過瀏覽器漏洞攻擊國內重點單位。2019 年，奇安信捕獲境外APT 組織虎木槿針對國內核心教育科研政府機構的攻擊活動并將活動命名為“幻 影”行動。

　　“幻影”行動意指虛幻而不真實的影像，取意于攻擊者在瀏覽器漏洞利用過程中通過播放不存在的Windows Media Video 影 音文件來啟動 MediaPlayer 插件，從而劫持執行下載的惡意 DLL 以達到執行木馬獲取控制的目的，體現了攻擊者變幻莫測的攻擊技巧和高超的技術能力。

　　APT-Q-11 屬于攻擊境內目標的境外組織，奇安信威脅情報中心對 APT-Q-11 組織的命名為魔株系——虎木槿?！盎ⅰ?與 “木槿” 均取自該組織地緣文化象征。

　　【攻擊事件】

　　2019 年，奇安信威脅情報中心紅雨滴團隊結合天眼產品在客戶側的部署檢測，在全球范圍內率先監測到多 例組合使用多個瀏覽器高危漏洞的定向攻擊。此次活動 目標包括多個國內核心教育科研政府機構和個人，被攻 擊目標只需使用某瀏覽器低版本打開網頁就可能中招， 被黑客植入后門木馬甚至完全控制電腦。

　　7、毒云藤（APT-Q-20）

　　【組織概述】

　　毒云藤組織是奇安信于 2015 年 6 月首次披露的疑似有我國臺灣地緣背景的 APT 組織，其最早的活動可以追溯到2007 年。該組織主要針對國內政府、軍事、國防、 科研等機構，使用魚叉郵件攻擊和水坑攻擊等手段來實施 APT 攻擊。

　　APT-Q-20 屬于攻擊境內目標的境外組織，奇安信威脅情報中心對APT-Q-20 組織的命名為魔 株系——毒云藤?！岸咎佟币鉃樵摻M織在多次攻擊行動中，都使用了Poison Ivy（毒藤）木馬，“云”字取于該組織在中轉信息時，曾使用云盤作為跳板傳輸資料。

　　【相關事件】

　　2020 年 10 月，奇安信披露了華語情報搜集活動： 血茜草行動。從 2018 年至 2020 年，毒云藤組織利用大 陸最常使用的社交軟件、郵箱系統、以及政府機構網站、 軍工網站、高等院校網站等進行了大規模的仿制，目的是盡可能多地獲取目標的個人信息，為后續竊取我國情 報信息做準備。

　　攻擊主要分為釣魚網站攻擊以及釣魚郵件攻擊。在釣魚郵件攻擊中，毒云藤主要偽裝成多種具有鮮明特色的角色如智庫類目標、軍民融合產業園、軍事雜志、公務員類獵頭公司等。

　　經過關聯分析，奇安信威脅情報中心發現，此次攻擊活動中使用的惡意代碼同歷史攻擊活動一樣利用 WinRAR ACE 漏 洞 CVE-2018-20250 進 行下發， 且惡意代碼中所使用的API 函數以及使用 strrev 函數將字符串反序的特點也與歷史代碼幾乎一致，最后木馬回連的C2 解析出的IP反查可得部分血茜草釣魚網站域名。至此研究人員判定此次攻擊活動與毒云藤組織相關。

　　8、藍寶菇（APT-Q-21）

　　【組織概述】

　　藍寶菇（APT-C-12）是奇安信率先公開和披露的APT組織。該組織從 2011 年開始持續至今，對我國政府、軍工、科研、金融等重點 單位和部門進行了持續的網絡間諜活動。藍寶菇 （APT-C-12）主要關注核工業和科研等相關信息。被攻擊目標主要集中在我國大陸境內。

　　該組織常使用魚叉郵件作為主要攻擊手段，通過向目標對象發送攜帶 LNK 文件和惡意 PowerShell 腳本 誘導用戶點擊，竊取敏感文件，安裝持久化后門程序， 并使用如阿里云盤、新浪云等云服務，把竊取的數據托 管在云服務上。由于該組織相關惡意代碼中出現特的字符串（Poison Ivy 密 碼 是： NuclearCrisis）， 結合該組織的攻擊目標特點，奇安信威脅情報中心將該組織攻擊行動命名為核危機行動（Operation NuclearCrisis）。

　　2018 年期間，該組織針對我國政府、軍工、科 研以及金融等重點單位和部門發起多次針對性攻擊，攻擊手法相較于之前也有所升級，并且魚叉郵件攜帶惡意文件也由原本的惡意 PE 文件首次更新為 PowerShell腳本后門，以及采用云空間、云附件的手法接收回傳的資料信息等都反映了藍寶菇APT組織在攻擊技術方面的更 新。

　　【近期攻擊事件】

　　2018 年 4 月以來，安全監測與響應中心和奇安信威脅情報中心在企業機構的協同下發現了一批針對性的魚 叉攻擊，攻擊者通過誘導攻擊對象打開魚叉郵件云附件 中的 LNK 文件來執行惡意 PowerShell 腳本收集上傳用 戶電腦中的敏感文件，并安裝持久化后門程序長期監控 用戶計算機。該攻擊過程涉及一些新穎的 LNK 利用方式， 使用了 AWS S3 協議和云服務器通信來偷取用戶的敏感 資料。

　　繼披露了藍寶菇 （APT-C-12） 攻擊組織的相關背景以及更多針對性攻擊技術細節后，奇安信威脅情報中心近期又監測到該組織實施的新的攻擊活動，在 APT-C-12 組織近期的攻擊活動中，其使用了偽裝成 “ 中國輕工業聯合會投資現況與合作意向簡介 ” 的誘導文件，結合該組織過去的攻擊手法，該誘餌文件會隨魚叉郵件進行投遞。

　　四、北美篇

　　9、Longhorn

　　【組織概述】

　　Longhorn 又名 Lamberts，APT-C-39 等。最早由國外安全廠商賽門鐵克在 Vault 7 泄漏間諜工具后命名。Valut 7 是由維基解密從 2017 年 3 月起公布的一系 列文件，在這些文件中主要披露了美國中央情報局進行 網絡監控和網絡攻擊的活動與攻擊工具。

　　據分析，Longhorn 至少從2011 年開始活動，Longhorn 感染了來自至少16 個國家包括中東、歐洲、 亞洲和非洲等的 40 個目標，主要影響金融、電信、能源、 航空航天、信息科技、教育、和自然資源等部門。它使用了多種后門木馬結合 0day 漏洞進行攻擊。

　　奇安信威脅情報中心紅雨滴團隊對歷史曝光的 CIA 網絡武器及相關資料進行研究，并發現了多種網絡武器文件，并且根據分析的結果與現有公開資料內容進行了關聯和判定。

　　紅雨滴團隊還發現這些網絡武器曾用于攻擊中國的目標人員和機構，其相關攻擊活 動主要發生在2012年到2017年（與 Vault 7 資料公開時間相吻合），并且在其相關資料被曝光后直至2018年末，依然維持著部分攻擊活動，目標可能涉及國內的航空行業。

　　【相關事件】

　　2019 年 9 月，奇安信威脅情報中心紅雨滴團隊通過對曝光的 CIA 網絡武器進行了國內安全事件的關聯和判 定，發現這些網絡武器曾用于攻擊中國的人員和機構， 攻擊活動主要發生在 2012 年到 2017 年（與Vault7資料公開時間相吻合），并且在其相關資料被曝光后直至 2018 年末，依然維持著部分攻擊活動，其目標涉及國內的航空行業。

　　2020年3月，國內某安全廠商發布的報告表示，中國航空航天、科研機構、石油行業、大型互聯網公司以及政府機構等多個單位均遭到 Longhorn 不同程度的攻擊。

　　攻擊活動最早可以追溯到 2008 年 9 月，并一直持續到 2019 年 6 月。受害者主要集中在北京、廣東、浙江等省市。該組織在針對中國航空航天與科研機構的攻擊中，主要圍繞系統開發人員來進行定向打擊。這些開發人員主要從事的是航空信息技術有關服務，如航班控制系統服務、貨運信息服務、結算分銷服務、乘客信息服務等。攻擊不僅僅是針對中國國內航空航天領域，同時還覆蓋百家海外及地區的商營航空公司。

　　10、Crypto AG

　　【公司概述】

　　2020 年 2 月 11日，《華盛頓郵報》聯合德國電視二臺 ZDF 曝光，CIA 一直利用頂級通信加密公司 Crypto AG 設備破解上百個國家政府數十年來的絕密信息。

　　【相關事件】

　　從上世紀60 年代開始，Crypto AG 的加密算法就被 NSA 操控，可以秘密的在加密設備中植入漏洞從而截取機密情報。

　　美國通過這種方式截取了大量秘密通信，包括其他 國家政府大量軍事行動、人質危機、暗殺和爆炸事件的 通信。例如，在 1978 年美國前總統卡特與埃及前總統 薩達特舉行埃及 - 以色列和平協議會談時，美國能夠監 聽薩達特與開羅的所有通信；1979 年伊朗人質危機期間， CIA 和 NSA 也借此監聽伊朗革命政府；在兩伊戰爭的十 年時間里，美國甚至截獲了19000 條加密機發送的伊朗情報。根據 CIA 的記錄，在馬島戰爭期間，美國還利用阿根廷對于Crypto加密設備的依賴，將截獲的阿根廷軍事計劃泄露給了英國。

　　目前有120 多個國家 / 地區購入過Crypto加密設備設備，客戶包括伊朗、印度、巴基斯坦、拉丁美洲各國政府，甚至梵蒂岡。

　　11、Equation（方程式）

　　【組織概述】

　　2015 年，卡巴斯基揭露史上最強網絡犯罪組織——Equation Group，該組織被視為隸屬于美國情報部門 NSA 旗下，已活躍近 26 年，在攻擊復雜性 和攻擊技巧方面超越歷史上所有的網絡攻擊組織。根據卡巴斯基實驗室目前所掌握的證據，Equation Group 被認為是震網（Stuxnet）和火焰（Flame）病毒幕后的操縱者。

　　從 2001 年至今，Equation 已在伊朗、俄羅斯、敘利亞、阿富汗、阿拉伯聯合大公國、中國、英國、美 國等全球超過 30 個國家感染了 500 多個受害者。受害者包括政府和外交機構、電信行業、航空行業、能源行業、核能研究機構、石油和天然氣行業、軍工行業、 納米技術行業、伊斯蘭激進分子和學者、大眾媒體、交 通行業、金融機構以及加密技術開發企業等。

　　【相關事件】

　　2017 年 4 月 14 日，“影子經紀人”曝光的數據中包含名為SWIFT 的文件夾，完整曝光了“方程式組織” 對 SWIFT 金融服務提供商及合作伙伴的兩起網絡攻擊行動：JEEPFLEA_MARKET 和JEEPFLEA_POWDER。

　　JEEPFLEA_MARKET 攻擊行動是針對中東地區最大 SWIFT服務提供商 EastNets，成功竊取了其在比利時、約旦、埃及和阿聯 酋的上千個雇員賬戶、主機信息、登錄憑證及管理員賬 號。

　　此次攻擊以金融基礎設施為目標，從全球多個區域的預設跳板機進行攻擊。以0Day漏洞直接突破兩層網絡安全設備并植入持久化后門；通過獲取內部網絡拓撲、 登錄憑證來確定下一步攻擊目標；以“永恒”系列 0Day漏洞突破內網 Mgmt（管理服務器） 、SAA業務服務 器和應用服務器，以多個內核級（Rootkit）植入裝備向服務器系統植入后門；通過具有復雜指令體系和控制功能的平臺對其進行遠程控制，在SAA業務服務器上執行SQL腳本來竊取多個目標數據庫服務器中的關鍵數據信息。

　　JEEPFLEA_POWDER攻擊行動是主要針對EastNets 在拉美和加勒比地區的合作伙伴 BCG （Business Computer Group），但此次行動并未成功。

　　12、Sauron（索倫之眼）

　　【組織概述】

　　Sauron 被認為是與美國情報機構有關的組織，長期對中國、俄羅斯等國進行APT攻擊，至少在 2011年10月起就一直保持活躍。以中俄兩國的政府、科研機構、 機場等為主要攻擊目標。

　　Sauron使用惡意代碼的難度和隱蔽性都與 APT 方程式相似，且與病毒火焰“Flame”有相似之處，被視為NSA 旗下黑客組織，與“方程式”實力相當。

　　【相關事件】

　　2016 年 8 月中旬，賽門鐵克和卡巴斯基實驗室相繼發布報告稱，追蹤到名為 Sauron（Strider）的APT組織。賽門鐵克發現，自 2011 年起，Sauron憑借 Backdoor.Remsec 惡意代碼，攻擊了中國、比利時、俄羅斯和瑞典的七個組織，包括位于俄羅斯的多個組織和個人、中國的一家航空公司、瑞典一個未公開的組織及比利時國內的一個大使館。后門 Remsec 可以用來竊取Windows的用戶信息，由 Lua 語言編寫，模塊化程度很高，不容易被發現。

　　目前，已知該組織攻擊過的目標包括中國、俄羅斯、比利時、伊朗、瑞典、盧旺達等 30 多個國家，主要以竊取敏感信息為主要目的。主要針對國防部門、大使館、金融機構、政府部門、電信公司以及科技研究中心等。

　　攻擊所涉及的國內組織包括科研教育、軍事和基礎設 施領域，重點行業包括水利、海洋等行業。除了政府機構與企業，他們還在公用網絡中各種開后門， 針對個人進行鍵盤監聽、竊取用戶憑證或密碼等個人 隱私信息。

　　結語

　　從2021年上半年發生的APT攻擊活動可以看出，全球APT組織為達成攻擊目的，不惜花費巨額資金和人力成本，比如，投入使用價值不菲的大量高價值0day漏洞等。

　　預計，APT組織在未來會繼續使用更耗費資源且更先進的技術進行攻擊，其中0day漏洞或是更為復雜的木馬都將會頻繁出現。

　　此外，APT攻擊組織持續改進武器庫，整體的威脅活躍水平保持相當高的頻度，如毒云藤、蔓靈花、 海蓮花等國家級攻擊組織，持續針對我國境內開展攻擊活動。尤其是隨著地緣政治緊張加劇，未來可能會出現更多利用APT組織刺探和竊取情報的攻擊行動。對于APT組織威脅，絕不能放松警惕

　　關于作者

　　奇安信集團紅雨滴團隊（RedDrip Team，@RedDrip7），依托全球領先的安全大數據能力、多維度多來源的安全數據和專業分析師的豐富經驗，自2015年持續發現多個包括海蓮花在內的APT組織在中國境內的長期活動，并發布國內首個組織層面的APT事件揭露報告，開創了國內APT攻擊類高級威脅體系化揭露的先河。截至目前，持續跟蹤分析的主要APT團伙超過47個，獨立發現APT組織14個，持續發布APT組織的跟蹤報告超過90篇，定期輸出半年和全年全球APT活動綜合性分析報告。