【网络间谍篇】这些知名APT组织背后都有国家级机构支持

近年来，随着地缘冲突和贸易冲突的加剧，网络安全攻击成为了继“海、陆、空、天”后的另一大战场，继而催生出越来越多的国家级APT攻击组织。

每个国家级的APT攻击组织的目的都不尽相同，最常见的就是窃取国家级机密情报、破坏他国的关键基础设施等。除此之外，很多国家级APT组织也成为了企业的攻击威胁主要来源之一。SolarWinds供应链攻击事件更是给所有的企业展示了国家级网络间谍组织的危害性。

APT29——全球性供应链危机魁首

APT29是一个拥有俄罗斯联邦对外情报局（SVR）背景的国家级APT 组织，其攻击目标覆盖欧洲、北美、亚洲、非洲的多个地区和国家，主要攻击目标为包含美国、英国等在内的北约成员国以及欧洲地域邻近国家，具体攻击行业目标为政府实体、科研机构、智囊团、高技术企业、通信基础设施供应商等。

通过对各类安全事件的披露报告中发现该组织所使用的木马工具集可以分为三类：The Dukes系列、WellMess系列、Nobelium系列。

The Dukes系列攻击活动主要为鱼叉网络攻击，该类木马的新颖之处在于使用Twitter社交平台伪造特定时政话题内容、存放恶意网络资产、以此为跳板投递初始攻击载荷及后续网络交互行为。

WellMess系列攻击活动主要通过远程网络渗透形式发起攻击，期间使用了多个Nday漏洞，该类木马采用golang和.Net环境进行开发设计，实现基础的窃密监听恶意功能，并存在针对Windows、Linux平台的攻击样本。

Nobelium系列包括Solarwinds供应链攻击在内的一系列攻击活动，该类木马疑似采用Microsoft Exchange 0day漏洞渗入Solarwinds供应商产品构建系统，植入Sunspot木马。

APT29是最先进、纪律严明且难以捉摸的威胁参与者之一，该攻击组织的攻击技巧非同寻常，既掌握进攻技能也熟练防御的技能，并利用这些知识来完善自己的入侵技术，以藏匿踪迹。

蔓灵花——网络间谍界的"学霸"

蔓灵花是拥有南亚背景的APT组织，具有强烈的政治背景，主要针对巴基斯坦、中国两国，其攻击目标为政府部门、电力、军工业相关单位，主要意图为窃取敏感资料。

该组织在攻击初期偏好投递带有office漏洞的恶意文档来进行鱼叉攻击，会针对不同的攻击对象定制化相关诱饵，通过对其攻击活动进行分析，发现该组织具有采用0day漏洞攻击的能力，且攻击能力正在不断提升，如开始使用.NET远控。除此之外会使用RAT变种来监视和控制目标计算机、网络设备甚至整个网络。

Oceanlotus——钓鱼世界最成功的窃贼

Oceanlotus是来自越南的APT攻击组织，是近几年来对中国大陆进行攻击活动最活跃的APT攻击组织。该组织的成员非常熟悉我国，对我国的时事、新闻热点、政府结构等都非常熟悉，如国家刚发布出个税政策时，该组织就立即使用个税改革方案作为攻击诱饵主体，此外该攻击组织常用的钓鱼主题还包括绩效、薪酬、工作报告、总结报告等，大部分邮件主体都非常本土化。

从整体攻击方式来看，该攻击组织常采用电子邮件投递诱饵的方式，在获得一台机器的控制权后，立即对整个内网进行扫描和平移渗透攻击等。

摩诃草——鱼叉攻击的"状元"

摩诃草组织（APT-C-09），又称HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork，是一个来自于南亚地区的境外APT组织，该组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动，其中以窃取敏感信息为主。

该组织具有使用0day漏洞和Nday漏洞的能力，其攻击活动常以鱼叉邮件开始，偶尔也会利用水坑攻击，并结合社会工程学技巧，以热点问题为诱饵主题，将自身伪装为目标国家、目标领域的相关人员，针对目标国家的政府、军事、电力、工业、外交和经济进行网络间谍活动，窃取敏感信息。

通过对摩诃草组织的历次攻击活动的目标、时间节点、诱饵主题等相关信息分析来看，该组织的攻击活动具有较强的政治动机。

Lazarus——金融机构最大的威胁

Lazarus是东亚某国支持的最活跃的APT组织之一，具有非常高的网络攻击能力，其攻击目的主要以窃取资金为主，针对银行、比特币交易所等金融机构以及个人实施定向攻击，堪称全球金融机构最大的威胁。此外，Lazarus还针对航空航天、工程、技术、政府、媒体等机构和企业进行渗透，达到窃取重要资料以及破坏勒索等目的。

该组织早期多利用僵尸网络对目标进行DDos攻击，中后期主要的攻击手段为鱼叉攻击、水坑攻击以及供应链攻击等手法，并会配合社会工程学进行攻击。

通过该组织进行的多次攻击活动进行分析，该攻击组织的攻击周期较长、诱饵极具迷惑性和诱惑性、擅长使用多种加密算法，同时每次攻击所使用的工具的源代码都经过一定的修改，说明该组织还具有一定的编程能力。

该组织的攻击手段逐渐明晰，导致其攻击难度大幅度提升，相关机构预测该组织会逐渐积累0day漏洞以扩充其武器库。

响尾蛇——网络间谍的"上帝"

响尾蛇是拥有南亚背景的APT组织，主要针对巴基斯坦、中国、阿富汗、尼泊尔、孟加拉等国家展开攻击，以窃取政府外交机构、国防军事部门、高等教育机构等领域的机密信息为目的，攻击活动具有强烈的政治背景。

该组织具有Windows和Android双平台攻击能力。其中在Windows平台的攻击手法比较固定，攻击前期以LNK文件或者漏洞文档为攻击入口，通过执行包含js代码的hta文件或js脚本反射加载C# dll文件，最后借由该dll文件植入木马程序组件。

通过对其攻击活动的分析，相关机构发现响尾蛇组织的攻击流程整体没有太大的变化，但为了对抗研究人员的反制溯源以及安全软件的检测查杀，响尾蛇通过提高代码混淆度、参数加密等方向改进攻击手段。

当下，全球正处于数字化转型的关键时期，越来越的机构和企业进行数字化转型，也就意味着越来越多的资产都架构在网络、数据和软件之上，在极大提高便捷性的同时，网络攻击所展现出来的威力将难以估量。

在国家的大力支持下，国家级APT组织的攻击实力正在急剧上升，APT攻击威胁将笼罩在全球。这意味着，中国领先的科研机构、政企机构都面临这更加严峻、更加激烈的网络窃密活动与网络破坏活动，中国的网络安全之路道阻且长，对中国政企机构的网络安全建设与运营水平提出了更高的要求——国城科技专注于网络安全本质的探索，致力于为政企机构提出全域网络安全解决方案。