这53个黑客组织竟敢攻击政府和国防，中国不是唯一受害者

1月5日，报道，

你以为这些黑客已经足够大胆，敢正面刚上政界人员和知名人士？

不，他们可能还是小儿科，有一些更加胆大包天的黑客在过去一年中冲击着79个国家核地区的 政府、外交、军队和国防，对，编辑说的就是高级持续性威胁（APT）。

除了这些传统目标，还了解到，能源、电力、医疗、工业等国家基础设施性行业也正面临着APT攻击的风险。而金融行业主要面临一些成熟的网络犯罪团伙的攻击威胁，如MageCart、CobaltGroup等等，其组织化的成员结构和成熟的攻击工具实现对目标行业的规模化攻击，这与过去的普通黑客攻击是完全不同的。除了针对金融、银行外，电子商务、在线零售等也是其攻击目标。

最近，从360威胁情报中心发布的《全球高级持续性威胁（APT）2018年报告》（以下简称报告）中，还发现了更多的料。

1.高级威胁攻击活动几乎覆盖了全球绝大部分国家和区域

中国并不是这些黑客的唯一目标，你可以看到，韩国、中东、美国等兄弟的日子也不好过。

2.胆大包天的黑客组织还挺多，有名有姓的就有53个

进一步对公开报告中高级威胁活动中命名的攻击行动名称、攻击者名称，并对同一背景来源进行归类处理后的统计情况如下，总共涉及109个命名的威胁来源命名。基于全年公开披露报告的数量统计，一定程度可以反映威胁攻击的活跃程度。

从上述威胁来源命名中，360威胁情报中心认为，明确的APT组织数量有53个。

其中，明确的针对中国境内实施攻击活动的，并且依旧活跃的公开APT 组织，包括海莲花、摩诃草、蔓灵花、Darkhotel、Group 123、毒云藤和蓝宝菇。

3.手段更多样，丧心病狂地利用在野漏洞

• 文档投放的形式多样化

在过去的APT威胁或者网络攻击活动中，利用邮件投递恶意的文档类载荷是非常常见的一种攻击方式，通常投放的文档大多为Office文档类型，如doc、docx，xls，xlsx。

针对特定地区、特定语言或者特定行业的目标人员攻击者可能投放一些其他的文档类型载荷，例如针对韩国人员投放HWP文档，针对巴基斯坦地区投放InPage文档，或者针对工程建筑行业人员投放恶意的AutoCAD文档等等。

• 利用文件格式的限制

APT攻击者通常会利用一些文件格式和显示上的特性用于迷惑受害用户或安全分析人员。这里以LNK文件为例，LNK文件显示的目标执行路径仅260个字节，多余的字符将被截断，可以直接查看LNK文件执行的命令。

而在跟踪蓝宝菇的攻击活动中，该组织投放的LNK文件在目标路径字符串前面填充了大量的空字符，直接查看无法明确其执行的内容，需要解析LNK文件结构获取。

• 利用新的系统文件格式特性

2018年6月，国外安全研究人员公开了利用Windows 10下才被引入的新文件类型“.SettingContent-ms”执行任意命令的攻击技巧，并公开了POC。而该新型攻击方式被公开后就立刻被黑客和APT组织纳入攻击武器库用于针对性攻击，并衍生出各种利用方式：诱导执行、利用Office文档执行、利用PDF文档执行。

• 利用旧的技术实现攻击

一些被认为陈旧而古老的文档特性可以被实现并用于攻击，360威胁情报中心在下半年就针对利用Excel 4.0宏传播商业远控木马的在野攻击样本进行了分析。

该技术最早是于2018年10月6日由国外安全厂商Outflank的安全研究人员首次公开，并展示了使用Excel4.0宏执行ShellCode的利用代码。Excel4.0宏是一个很古老的宏技术，微软在后续使用VBA替换了该特性，但从利用效果和隐蔽性上依然能够达到不错的效果。

从上述总结的多样化的攻击投放方式来看，攻击者似乎在不断尝试发现在邮件或终端侧检测所覆盖的文件类型下的薄弱环节，从而逃避或绕过检测。

• 0day 漏洞和在野利用攻击

0day漏洞一直是作为APT组织实施攻击所依赖的技术制高点，在这里我们回顾下2018年下半年主要的0day漏洞和相关APT组织使用0day漏洞实施的在野利用攻击活动。

所谓0day漏洞的在野利用，一般是攻击活动被捕获时，发现其利用了某些0day漏洞（攻击活动与攻击样本分析本身也是0day漏洞发现的重要方法之一）。而在有能力挖掘和利用0day漏洞的组织中，APT组织首当其冲。

在2018年全球各安全机构发布的APT研究报告中，0day漏洞的在野利用成为安全圈最为关注的焦点之一。其中，仅2018年下半年，被安全机构披露的，被APT组织利用的0day漏洞就不少于8个。

［2018下半年APT组织使用的0day漏洞］

4.新的一年，它们还可能演变成这样：

从2018年的APT威胁态势来看，360威胁情报中心推测，APT威胁活动的演变趋势可能包括如下：

1） APT组织可能发展成更加明确的组织化特点，例如小组化，各个攻击小组可能针对特定行业实施攻击并达到特定的攻击目的，但其整体可能共享部分攻击代码或资源。

2）APT组织在初期的攻击尝试和获得初步控制权阶段可能更倾向于使用开源或公开的攻击工具或系统工具，对于高价值目标或维持长久性的控制才使用其自身特有的成熟的攻击代码。

3）APT组织针对的目标行业可能进一步延伸到一些传统行业或者和国家基础建设相关的行业和机构，随着这些行业逐渐的互联化和智能化可能带来的安全防御上的弱点，以及其可能面临的供应链攻击。

4） APT组织进一步加强0day漏洞能力的储备，并且可能覆盖多个平台，包括PC，服务器，移动终端，路由器，甚至工控设备等。