2018年全球十大APT攻擊事件盤點

阿新 • • 發佈：2019-01-14

前言

APT攻擊（Advanced Persistent Threat，高階持續性威脅）是利用先進的攻擊手段對特定目標進行長期持續性網路攻擊的攻擊形式。

360威脅情報中心結合2018年全年國內外各個安全研究機構、安全廠商披露的重大APT攻擊事件，以及近幾年來披露的高階持續性威脅活動資訊，並基於這些重大APT攻擊事件的危害程度、攻擊頻度、攻擊技術等，評選出2018年全球十大APT攻擊事件。

2018年全球十大APT攻擊事件

360威脅情報中心將基於每個APT攻擊事件的背景資訊、攻擊組織、相關TTP（戰術、技術、過程）進行描述，帶你一起回顧這些重大攻擊事件。

韓國平昌冬奧會APT攻擊事件

評分：危害程度 ★★★ 攻擊頻度 ★★ 攻擊技術 ★★★

事件時間：韓國平昌奧運會期間，首次活動於2017年12月22日

攻擊組織：Hades

受害目標：韓國平昌奧運會舉辦方

相關攻擊武器：Olympic Destroyer

主要攻擊戰術技術：

1.魚叉郵件投遞內嵌惡意巨集的Word文件

2.利用PowerShell實現的圖片隱寫技術，其使用開源工具Invoke-PSImage實現

3.利用失陷網站用於攻擊載荷的分發和控制回傳

4.偽裝成韓國國家反恐中心（NCTC）的電子郵件地址傳送魚叉郵件，以及註冊偽裝成韓國農業和林業部的惡意域名

韓國平昌冬奧會APT攻擊事件是由McAfee在今年伊始公開披露的APT事件，據相關新聞報道，其導致了奧運會網站的宕機和網路中斷。卡巴斯基將該事件背後的攻擊組織命名為Hades。

韓國冬奧會攻擊事件最為疑惑的是其攻擊者的歸屬問題，並至今仍未有定論。在事件中使用的植入載荷Olympic Destroyer，其用於破壞檔案資料的相關程式碼與過去Lazarus使用的載荷有部分相似，而美國部份媒體則聲稱該事件為俄羅斯情報機構實施並嫁禍給朝鮮。

該事件再一次展現了APT攻擊者利用和模仿其他組織的攻擊技術和手法特點，製造false flag以迷惑安全人員並誤導其做出錯誤的攻擊來源歸屬的判斷，而似乎製造false flag是Hades組織慣用的攻擊手法。

VPNFilter：針對烏克蘭IOT裝置的惡意程式碼攻擊事件

評分：危害程度 ★★★★★ 攻擊頻度 ★★★★ 攻擊技術 ★★★★

事件時間：最早從2016年開始，2018年5月首次披露

攻擊組織：疑似APT28

受害目標：主要為烏克蘭

相關攻擊武器：VPNFilter

相關漏洞：針對IOT裝置的多種漏洞

攻擊入口：利用IOT裝置漏洞遠端獲得初始控制權

主要攻擊戰術技術：

1.使用多階段的載荷植入，不同階段載荷功能模組實現不同

2.使用針對多種型號IOT裝置的公開漏洞利用技術和預設訪問憑據獲得對裝置的控制權

3.實現包括：資料包嗅探、竊取網站登入憑據、以及監控Modbus SCADA工控協議

4.針對多種CPU架構編譯和執行

5.使用Tor或SSL加密協議進行C2通訊

VPNFilter事件是2018年最為嚴重的針對IOT裝置的攻擊事件之一，並且實施該事件的攻擊者疑似具有國家背景。美國司法部在後續也聲稱該事件與APT28組織有關。

通過Cisco Talos的披露，該事件影響了至少全球54個國家和地區的50W裝置，包括常用的小型路由器型號（例如Linksys，MikroTik，NETGEAR和TP-Link）、NAS裝置等。

VPNFilter惡意程式碼被製作成包含複雜而豐富的功能模組，實現多階段的攻擊利用，並被編譯成支援多種CPU架構，使用已知公開的漏洞利用技術獲得控制權。

烏克蘭特勤局（SBU）後續也公開披露其發現VPNFilter對其國內的氯氣蒸餾站的攻擊。

APT28針對歐洲、北美地區的一系列定向攻擊事件

評分：危害程度 ★★★★ 攻擊頻度 ★★★★ 攻擊技術 ★★★★★

事件時間：貫穿整個2018年

攻擊組織：APT28

受害目標：北美、歐洲、前蘇聯國家的政府組織

相關攻擊武器：Cannon、Zebrocy等

相關漏洞：Office文件模板注入、疑似Lojack軟體缺陷或0day漏洞

攻擊入口：魚叉郵件、Office模板注入

主要攻擊戰術技術：

1.魚叉郵件傳送使用了Office模板注入攻擊技術的惡意文件

2.遠端注入惡意巨集程式碼並執行

3.釋放Delphi版的Cannon和.Net和C#等多個語言版本的Zebrocy木馬進行遠端控制

4.以及針對LoJack計算機防盜軟體植入UEFI rootkit木馬程式，實現重灌系統及更換硬碟都無法消除的持久化遠端控制

APT28組織在整個2018年頻繁利用Office模板注入遠端巨集文件的攻擊技術對包括北美國家的外交事務組織、歐洲國家的外交事務組織以及前蘇聯國家的政府實體進行定向攻擊。這些攻擊的攻擊媒介都是通過魚叉式網路釣魚，使用註冊到免費電子郵件提供商Seznam的電子郵件帳戶，Seznam是一家位於捷克共和國的熱門網路服務提供商，並且該攻擊大部分文件都包含作者名Joohn。

在2018年9月，ESET還發現APT28組織使用UEFI rootkit針對巴爾幹半島及中歐和東歐的政府組織進行定向攻擊的活動。

藍寶菇APT組織針對中國的一系列定向攻擊事件

評分：危害程度 ★★★★ 攻擊頻度 ★★★ 攻擊技術 ★★★

事件時間：2018年4月（首次攻擊時間為2011年）

攻擊組織： 藍寶菇（BlueMushroom）

受害目標：中國政府、軍工、科研、金融等重點單位和部門

相關攻擊武器：PowerShell後門

相關漏洞：無

攻擊入口：魚叉郵件和水坑攻擊

主要攻擊戰術技術：

1.魚叉郵件投遞內嵌PowerShell指令碼的LNK檔案，並利用郵件伺服器的雲附件方式進行投遞

2.當受害者被誘導點選惡意LNK檔案後，會執行LNK檔案所指向的PowerShell命令，進而提取出LNK檔案中的其他誘導檔案、持久化後門和PowerShell後門指令碼。PowerShell後門會通過對受害者的電腦中的特定格式檔案進行打包並上傳到第三方雲空間（如：亞馬遜雲，新浪雲等）

3.從網路上接受新的PowerShell後門程式碼執行，從而躲避了一些殺軟的查殺

“藍寶菇”APT組織在2018年對我國的政府、軍工、科研、金融等重點單位和部門都發起了多次針對性攻擊，攻擊的技術以及手法也有所升級。從以往的PE木馬升級到現在的非PE的指令碼後門，以及採用雲空間、雲附件的手法接收回傳的資料資訊等都反映了藍寶菇APT組織在攻擊技術方面的更新。從近期360威脅情報中心監控到的攻擊事件來看，未來藍寶菇APT組織都會大量的使用PowerShell指令碼等非PE後門來替代原有的PE木馬數字武器。

海蓮花APT組織針對我國和東南亞地區的定向攻擊事件

評分：危害程度 ★★★★ 攻擊頻度 ★★★★★ 攻擊技術 ★★★

事件時間：2018年全年（首次攻擊時間為2012年）

攻擊組織：海蓮花（OceanLotus）

受害目標：東南亞國家、中國及其相關科研院所、海事機構、航運企業等

相關攻擊武器：Denis家族木馬、Cobalt Strike、CACTUSTORCH框架木馬

相關漏洞：微軟Office漏洞、MikroTik路由器漏洞、永恆之藍漏洞

攻擊入口：魚叉郵件和水坑攻擊

主要攻擊戰術技術：

1.魚叉郵件投遞內嵌惡意巨集的Word檔案、HTA檔案、快捷方式檔案、SFX自解壓檔案、捆綁後的文件圖示的可執行檔案等

2.入侵成功後通過一些內網滲透工具掃描滲透內網並橫向移動，入侵重要伺服器，植入Denis家族木馬進行持久化控制

3.通過橫向移動和滲透拿到域控或者重要的伺服器許可權，通過對這些重要機器的控制來設定水坑、利用第三方工具並輔助滲透

4.橫向移動過程中還會使用一些逃避殺軟檢測的技術：包括白利用技術、PowerShell混淆技術等

“海蓮花”APT 組織在2018年全年頻繁的針對我國及東南亞國家進行持續的針對性攻擊，比如針對柬埔寨和菲律賓的新的攻擊活動，並且疑似利用了路由器的漏洞實施遠端滲透。相關漏洞首次公開是由維基解密披露的CIA Vault7專案資料中提及並由國外安全研究人員釋出了相關攻擊利用程式碼。並且“海蓮花”在2018年的攻擊活動中使用了更加多樣化的載荷投放形式，並使用多種白利用技術載入其惡意模組。

蔓靈花APT組織針對中國、巴基斯坦的一系列定向攻擊事件

評分：危害程度 ★★★ 攻擊頻度 ★★★★ 攻擊技術 ★★★

事件時間：2018年初

攻擊組織： 蔓靈花（BITTER）

受害目標：中國、巴基斯坦

相關攻擊武器：“蔓靈花”特有的後門程式

相關漏洞：InPage文書處理軟體漏洞CVE-2017-12824、微軟公式編輯器漏洞等

攻擊入口：魚叉郵件攻擊

主要攻擊戰術技術：

1.魚叉郵件投遞內嵌Inpage漏洞利用文件、微軟公式編輯器漏洞利用文件、偽造成文件/圖片的可執行檔案等

2.觸發漏洞後釋放/下載執行惡意木馬，與C2保持通訊，並根據C2返回的命令下載指定外掛執行

3.下載執行多種遠控外掛進行遠端控制

“蔓靈花”APT組織在2018年利用InPage文件處理軟體漏洞、微軟公式編輯器漏洞、偽造文件圖示的可執行檔案等攻擊手法，針對中國、巴基斯坦重要組織機構和人員多次發起定向攻擊。多次攻擊活動表明，蔓靈花習慣攻陷巴基斯坦政府網站用於下發後續木馬，比如在11月針對巴基斯坦的攻擊活動中，後續木馬下發地址為：fst.gov.pk/images/winsvc，而fst.gov.pk則是巴基斯坦政府的相關網站。

並且在2018年11月左右針對巴基斯坦的攻擊中使用了大量InPage漏洞利用文件進行攻擊。而InPage則是一個專門針對烏爾都語使用者（巴基斯坦國語）設計的文書處理軟體。

APT38針對全球範圍金融機構的攻擊事件

評分：危害程度 ★★★★★ 攻擊頻度 ★★★★ 攻擊技術 ★★★★

事件時間：最早於2014年，持續活躍至今

攻擊組織：APT38

受害目標：金融機構，銀行，ATM，SWIFT

相關攻擊武器：多種自制惡意程式

相關漏洞：多種漏洞

攻擊入口：魚叉攻擊，水坑攻擊

主要攻擊戰術技術：

1.利用社交網路，搜尋等多種方式對攻擊目標進行詳細的網路偵查

2.使用魚叉攻擊或水坑攻擊對目標人員實施攻擊並獲得初始控制權

3.在目標網路橫向移動，最終以獲得SWIFT系統終端為目標

4.偽造或修改交易資料達到竊取資金

5.通過格式化硬碟或日誌等方式清除痕跡。

APT38被認為是朝鮮來源的APT組織，國外安全廠商通常稱為Lazarus Group。近年來主要披露的攻擊活動涉及全球金融和銀行機構、中美洲線上賭場、以及虛擬電子貨幣相關的交易所和機構。FireEye在今年披露了一份詳細的APT組織報告，並將其中以經濟牟利為意圖的，針對全球金融、銀行機構攻擊的威脅活動獨立歸屬為一個新的組織名稱，APT38以明確區分其與Lazarus之間的一些不同。

美國司法部在今年9月也公開披露了一份非常詳細的針對朝鮮黑客PARK JIN HYOK及其相關組織Chosun Expo過去實施的攻擊活動的司法指控。在該報告中指出PARK黑客及其相關組織與過去SONY娛樂攻擊事件、全球範圍多個銀行SWIFT系統被攻擊事件、 WannaCry、以及韓國、美國軍事人員和機構被攻擊的相關事件有關。

APT38，作為目前以經濟利益為動機的最為活躍的APT組織，我們也應該持續關注其使用的攻擊技術和工具。

疑似DarkHotel APT組織利用多個IE 0day“雙殺”漏洞的定向攻擊事件

評分：危害程度 ★★★ 攻擊頻度 ★★ 攻擊技術 ★★★★

事件時間：首次發現於2018年5月，相同Payload在2月中旬被發現

攻擊組織：DarkHotel

受害目標：中國

相關攻擊武器：劫持作業系統DLL檔案（msfte.dll、NTWDBLIB.DLL）的外掛式木馬後門

相關漏洞：CVE-2018-8174、CVE-2018-8373等

攻擊入口：魚叉郵件攻擊

主要攻擊戰術技術：

1.魚叉郵件投遞包含IE 0day雙殺漏洞的Word文件

2.漏洞利用成功後釋放白利用檔案執行惡意PowerShell下載下一階段PowerShell指令碼

3.下載回來的PowerShell指令碼進行Bypass UAC，並通過劫持系統DLL檔案下載核心木馬模組

4.核心木馬模組與C2地址通訊下載執行更多的木馬外掛實現持久化控制

Darkhotel（APT-C-06）是一個長期針對企業高管、國防工業、電子工業等重要機構實施網路間諜攻擊活動的APT組織。2018年5月，360公司首次發現疑似該組織使用IE 0day“雙殺”漏洞針對中國的定向攻擊。

2018年8月15日，網路安全公司趨勢科技公開了其在今年7月捕獲到的一例在野0day漏洞攻擊，經過分析對比發現該0day漏洞和2018年4月360公司首次發現影響IE瀏覽器並通過Office文件進行攻擊的“雙殺”漏洞使用了多個相同的攻擊技術，極有可能是同一團伙所為。

並且早在2018年2月中旬，360威脅情報中心就跟蹤發現了DarkHotel APT團伙使用相同的惡意程式碼的定向攻擊活動，並且結合威脅情報資料探勘到了該團伙更多的樣本，對該團伙近年來使用的多個版本的惡意程式碼進行了分析對比，梳理了樣本演化過程。

疑似APT33使用Shamoon V3針對中東地區能源企業的定向攻擊事件

評分：危害程度 ★★★★ 攻擊頻度 ★★ 攻擊技術 ★★★

事件時間：2018年12月發現

攻擊組織：疑似APT33

受害目標：中東和歐洲的石油和天然氣公司

相關攻擊武器：Shamoon V3

相關漏洞：無

攻擊入口：魚叉郵件攻擊

主要攻擊戰術技術：

1.使用隨機生成的資料覆蓋系統上的MBR、分割槽和檔案

2.惡意檔案的檔案描述模仿合法的產品名稱

安全人員於今年12月在VirusTotal上發現了新版本的Shamoon惡意程式碼，其使用隨機生成的資料覆蓋系統上的MBR，分割槽和檔案。本次攻擊活動可能主要針對歐洲和中東的石油、天然氣公司。

隨後，國外安全廠商McAfee對Shamoon攻擊所使用的新的工具集進行分析，並認為新的Shamoon版本作為其攻擊工具集的一部分，其還包括一個.Net開發的攻擊工具。McAfee指出該攻擊活動可能與APT33有關。而後續FireEye對 APT33組織近期的攻擊活動與Shamoon攻擊的聯絡也進行了分析說明。

Slingshot：一個複雜的網路間諜活動

評分：危害程度 ★★★★ 攻擊頻度 ★★ 攻擊技術 ★★★★★

事件時間：2012至2018年2月

攻擊組織：疑似針對伊斯蘭國和基地組織成員

受害目標：非洲和中東各國的路由器裝置

相關攻擊武器：自制的攻擊武器

相關漏洞：CVE-2007-5633、CVE-2010-1592、CVE-2009-0824

攻擊入口：可能通過Windows漏洞利用或已感染的Mikrotik路由器

主要攻擊戰術技術：

1.初始loader程式將合法的Windows庫’scesrv.dll’替換為具有完全相同大小的惡意檔案

2.包括核心層的載入器和網路嗅探模組，自定義的檔案系統模組

3.可能通過Windows漏洞利用或已感染的Mikrotik路由器獲得受害目標的初始控制權。

Slingshot是由卡巴斯基在今年早些發現和披露的網路間諜活動，並且披露其是一個新的、高度複雜的攻擊平臺的一部分，其在複雜度上可以與Project Sauron和Regin相媲美。

而後續，外媒對該曝光的活動也進行了報道。其中披露該攻擊活動可能與美國聯合特種作戰司令部（JSOC）進行的一項軍事計劃有關，用於幫助軍方和情報界通過感染受害目標常用的計算機收集有關恐怖分子的資訊。

卡巴斯基披露Slingshot至少影響了約100名受害者，主要分佈於非洲和中東地區國家（如阿富汗、伊拉克、肯亞、蘇丹、索馬利亞、土耳其等）。其同時針對Windows和Mikrotik路由器平臺實施永續性的攻擊植入。

總結

通過360威脅情報中心整理的2018年十大APT攻擊事件，我們可以總結出以下一些觀點：

工業製造業以及國家基礎建設相關的行業和機構越來越多的成為APT組織的直接攻擊目標，比如針對烏克蘭路由器等IOT裝置的VPNFilter惡意程式碼攻擊和針對中東地區能源企業的定向攻擊事件；

APT組織通過不斷變換攻擊方式和更多的0day漏洞來嘗試突破目標的安全防護。比如被利用的多個IE 0day雙殺漏洞、針對小眾的InPage文書處理軟體漏洞、針對路由器的漏洞攻擊、躲避郵件或終端防毒軟體檢測的Office模板注入攻擊等；

多個著名的APT團伙在2018年非常活躍，被國內外多個安全研究機構、安全廠商所披露。比如針對歐洲、北美地區進行頻繁攻擊的APT28，針對東南亞地區持續進行定向攻擊的海蓮花、蔓靈花等APT組織。