全球高級持續性威脅總體態勢、典型手法及趨勢研判

隨著網絡空間博弈發展和國際局勢的加劇，組織性復雜、計劃性高效和針對性明確的網絡攻擊活動更趨常態化，高級持續性威脅（APT）攻擊已成為網絡空間突出風險源。APT 的政治化、軍事化、武器化、組織化、隱匿化趨勢日益明顯，與政府部門進一步深度綁定，“雇傭兵”性質更為凸顯，零日漏洞、供應鏈入侵等高水平滲透手段的利用呈現常態化的特征。在大國博弈的背景下，APT 攻防較量更趨復雜，針對APT 事件的調查與響應呈現強烈的政治化趨勢，成為網絡空間與現實地緣政治融匯交織新的風險點。

一、當前全球 APT 總體態勢

當前，全球 APT 攻擊數量再創新高，呈現出全域展開、多點迸發的特點，在攻擊目標區域、目標機構、攻擊主體上均呈現新變化。

（一）攻擊數量逐年攀升，攻擊目標逐漸泛化，攻擊組織更趨多源

受地緣政治熱點事件的影響，全球 APT 活動在近兩年進入新一輪活躍期。一是攻擊總量增多、烈度增強。根據國內多家安全廠商的統計顯示，2022 年全球 APT 攻擊總量高于 2021 年，不僅純 APT 攻擊類型增多，APT 與其他攻擊形式相融合的混合攻擊數量也在不斷增長。攻擊烈度不斷增強，影響范圍更廣泛，甚至從原有的物理“破壞”拓展到“攻心”目的，干擾認知、影響民眾心理的攻擊活動增多。二是攻擊目標區域拓展，熱點區域成為攻擊“高地”。俄烏沖突作為近年最典型的地緣政治事件，成為推動近年 APT 攻擊走高的導火索，交戰雙方以及相關域外國家成為 APT 攻擊的重點目標；中東、南亞、東北亞等熱點區域所涉 APT 攻擊“此消彼長”；隨著非洲國家的地緣屬性增強，針對非洲國家的攻擊也開始出現在全球 APT 攻擊版圖中。三是攻擊的目標機構更趨泛化。在所有的攻擊目標中，政府和外交機構、國防承包商等“高政治”領域依然是重點目標，情報數據竊密猖獗；金融部門、博彩機構等經濟組織逐漸成為攻擊熱門，索取經濟利益的攻擊活動更為頻繁。在當前科技博弈激烈的背景下，針對技術部門的攻擊也在增加，特別是芯片行業成為新的攻擊領域。四是攻擊組織更為多源。在 APT 攻擊戰場中，傳統組織與新興組織更迭交替，諸如“拉撒路”（Lazarus）、Kimsuky、“摩訶草”（Patchwork）、“透明部落”（Transparent Tribe）等傳統老牌 APT 組織持續活躍，不斷精進攻擊手法，占據著 APT 整體格局的“基本盤”；“穆倫鯊”（MurenShark）、Polonium、Metador 等新興組織不斷涌現，在攻擊活動中展現了較強的對抗能力，成為新的威脅行為體，加劇形勢復雜。

（二）地區熱點激化，APT 攻擊與熱點地緣政治事件同頻共振

全球政治亂象紛呈，大國博弈趨于白熱，APT 攻擊與熱點地緣政治事件同頻共振。一是俄烏沖突激化致 APT 攻擊全域展開。在時間上，APT 攻擊貫穿沖突醞釀、爆發、相持各個階段；在攻擊目標上，APT 攻擊從軍事目標和關鍵基礎設施到后來針對作戰人員、情報人員以及重要官員攻擊，導致重大信息泄露，網絡戰和認知戰相互交織，網絡攻擊的“無差別化”越來越明顯。在攻擊主體上，除了來自俄烏兩國所屬的 APT 組織外，域外國家的 APT 組織將俄烏沖突視為檢驗進攻技術和網絡武器的機會，開展對抗較量。微軟、思科、ESET 等網絡安全企業利用先進的遙測技術遠程“勘探”戰場，充當網絡攻防“軍師”。二是東北亞安全局勢推動 APT 組織“高位運轉”。“半島爭端”由來已久，朝韓兩國的 APT 攻擊淵源頗深，特別是韓國尹錫悅政府組閣后，對朝鮮采取了更強硬的軍事威懾和制裁等舉措，直接加劇了東北亞 APT 組織的對抗局勢。2022 年，以“拉撒路”、Kimsuky、“黑店”（Darkhotel）等為代表的典型 APT 組織表現出高活躍度，這是對于該地區局勢趨緊的直接反應，朝韓 APT 組織之間的對抗性日益凸顯，呈現出“分庭抗禮”的態勢。三是印巴沖突刺激 APT 組織之間的“纏斗”。2022年，美國轉向“印太”，明確將印度作為“四邊安全對話”和“印太經濟框架”等機制的重要成員，并積極拉攏孟加拉國加入其“印太戰略”圈，系列舉動打破了地區的平衡，刺激巴基斯坦逐漸回歸與印度對抗的傳統政策。基于此，“響尾蛇”（SideWinder）、“蔓靈花”（Bitter）、“摩訶草”“透明部落”“金剛象”（VajraEleph）、“肚腦蟲”（DoNot）等組織“聞風而動”，在網絡空間“交織纏斗”。四是中東矛盾推動 APT 攻擊軍事化。錯綜復雜的政治局勢使得中東地區一直都是 APT 攻擊的高發區，諸如“污水”（MuddyWater）、Lyceum、“月光鼠”（Molerats）、“迷人小貓”（Charmer Kitten，又名 APT35、TA453）等組織直接參與軍事戰，加劇了地區沖突。

（三）疫情屬性的 APT 攻擊持續影響

雖然新冠疫情在全球基本結束，但許多 APT 組織仍在利用公眾恐慌，開發各種惡意軟件變種，形成了獨具風格的“后疫情時代的 APT 攻擊潮”。 一是疫情屬性的社會工程攻擊模式逐漸成型。“疫情做餌”的網絡攻擊仍在肆虐，針對生命科學和醫療保健行業的攻擊維持高位，攻擊者意圖利用疫情造成的高需求來獲利。 二是遠程辦公的普及助推攻擊常態化。遠程辦公基礎設施成為攻擊者的主要突破口，身份攻擊日益猖獗，企業級服務器軟件成為重點對象，Exchange 郵件服務器的零日漏洞仍被多個 APT 組織利用。 三是疫情刺激 APT 組織轉向經濟目標。在疫情帶來的經濟疲軟背景下，相當一部分對經濟利益訴求明顯的 APT 組織活動更趨頻繁，逐漸將金融機構、加密貨幣等具有較高經濟價值的目標作為主要對象，“不僅尋求信息，還追求金錢”成為當前 APT 組織復雜性的表現。

二、主要 APT 組織典型手法分析

APT 攻擊者不斷改變策略，改進工具，開發新式攻擊技術，積極在攻擊流程、偽裝手段以及攻擊憑借上進行創新。

（一）傳統攻擊流程現“新招”

APT 攻擊具有完整的生命周期，一般可總結為：偵察、入侵、持久化駐留、橫向移動、滲出等階段，不同階段在近年來均呈現出新特點。 一是在偵察階段，泄露數據庫成為新切入點。隨著數據泄露事件的增多，APT 攻擊組織通過清洗數據來確認攻擊目標的偵察行為不斷增加，APT 組織也在主動挖掘目標信息，包括主動購買商業化的威脅情報類數據，以獲取可能的攻擊入口。 二是在入侵階段，APT 攻擊者巧用流量提高水坑攻擊效率。為了提高滲透精準率，APT 攻擊者開始借助推特、領英、Discord 等社交平臺來篩選受害者并發動攻擊。此外，為快速與目標建立信任關系，最大限度地提高釣魚郵件的欺騙性，許多組織不斷改進傳統釣魚郵件入侵的手段，巧用流量提高水坑攻擊的效率。 三是在執行階段，反檢測與繞過技術推陳出新，新型的木馬大量涌現。為了確保攻擊流程的成功實施，APT 攻擊者在代碼執行手法上不斷創新和采用繞過技術，如，“拉撒路”組織使用 BYOVD 技術禁用系統的安全軟件，并利用易受攻擊的驅動程序內核模塊來直接讀取和寫入內存區域。另外，隨著新興語言對攻防技術的支持日趨成熟，APT 組織開始使用新興的開發語言或框架來構建木馬程序，以獲得強大的繞過能力與反檢測能力。 四是在橫向移動階段，CobaltStrike（CS）工具被逐步替代。一方面，內網的域控制器、OA 等敏感服務，始終是攻擊者青睞的入侵目標；另一方面，2022 年爆出的遠程代碼執行（RCE）漏洞使后滲透框架 CS 工具變得不再可靠，各大 APT 組織開始探索該工具的替代品。 五是在命令控制階段，IoT 設備與公共內容平臺成為重要跳板。在構建攻擊流程時，APT 組織通常會構建一類用于轉發木馬控制指令的跳板設備，以避免攻擊資產和控制人員被溯源。以“海蓮花”為代表的具有較高流程構建能力的 APT 組織已開始利用 IoT 設備以及 YouTube、Google+和 WordPress 等在線服務平臺。 六是在滲出階段，商業服務與網絡代理被廣泛使用。近年來，APT 組織越來越多地利用商業化服務或接口來存儲滲出的數據，例如利用 Telegram API 的竊密工具，以及在遠程服務器上搭建 VPN 程序，以避免在數據泄露過程中遭遇“不可能旅行”類檢測。

（二）偽裝手段盛行

區別于傳統攻擊者使用“猛擊”和“強奪”的手法，成熟的 APT 組織在組件和流程設計上更為靈活和細致，并借助更多偽裝手段與工具隱藏其行為痕跡、規避檢測。 一是設置假旗干擾溯源。一些 APT 組織充分利用對手組織使用的 IP 地址、服務運營商甚至主機名，使其難以被溯源。 二是利用 Web 服務進行隱藏。攻擊者通過 Web 服務托管混淆 C2 基礎設施，防止 C2 基礎設施被逆向分析發現。 三是精準識別受害人身份。攻擊者采用受害主機信息驗證識別、IP 訪問白名單、合法網站重定向等多種訪問控制手段，精準判別目標用戶身份，確保攻擊武器投向真正目標用戶。 四是開展跨系統、跨平臺攻擊。隨著網絡泛化和跨域性趨勢愈發凸顯，APT 組織開始向跨系統和跨平臺方向發展， 如 ScarCruft 針對 Windows 系統和 Android 移動設備展開了跨平臺攻擊。 五是濫用合法憑證。攻擊者可以濫用合法憑證來隱藏其活動、訪問敏感信息或執行惡意操作。2022 年 IBM 研究顯示，合法憑證濫用是導致數據泄露的最主要攻擊初始向量之一，而且檢測此類技巧導致的數據泄露事件往往需要較長時間。

（三）漏洞利用成為重要切入點

一是零日漏洞利用。一些攻擊能力較高的 APT 組織通常會利用零日漏洞進行攻擊，例如“海蓮花”等組織具備挖掘和利用零日漏洞的能力。 二是在野漏洞利用。近年來，已識別和公開披露的漏洞數量逐年增加，APT 組織越來越多地利用在野漏洞作為初始攻擊媒介。歷史漏洞和未打補丁的漏洞仍然是重要的利用目標。 三是供應鏈漏洞利用。由于開源軟件和組件的廣泛應用，基于供應鏈漏洞的 APT 攻擊越來越多，Spring4Shell漏洞仍然是網絡安全事件的“策源地”。

三、我國面臨的 APT 攻擊形勢

我國面臨的 APT 攻擊是全方位的，攻擊源更為復雜和隱蔽，危害更為直接和嚴重，是我國當前面臨的突出網絡安全風險。

（一）攻擊數量持續增加

一是境內受控 IP 數量增加。2022 年，我國大量 IP 與多個境外 APT 組織的 C2 服務器進行通信，攻擊高峰出現在年中和年末兩個時期，其中中 5 月和 6 月的攻擊頻率顯著高于其他時期。尤其是 6 月份，境內疑似受控的 IP 數量甚至達到了 12 月的兩倍。 二是攻擊組織的來源多樣化。對我國進行網絡攻擊的活躍組織中，不僅包含在全球大范圍實施攻擊活動的 APT 組織，如“拉撒路”“方程式”、APT-C-40（源自美國國家安全局）；還有在近年攻擊活動中專門針對我國的 APT 組織，如，“摩訶草”、TA575、“虎木槿”“蔓靈花”等。

（二）攻擊手段日益復雜化

一是“專門定制”對我國網攻工具。各 APT 組織在長期針對我國網絡攻擊中逐漸“摸清”我國重要行業的薄弱點和風險點，定制相關策略、技術和程序（TTPs）。如“海蓮花”在 2022 年 5 月針對我國產化系統的定向攻擊中專門基于我國產化系統的特點對其攻擊載荷進行了定制，特別研發了針對 MIPS 架構的木馬程序。 二是檢測規避手法日益精進。部分 APT 組織為實現更深層次的控制和隱蔽，不斷更新迭代武器庫，以實現規避、繞過網絡、主機等層面檢測。例如，“摩訶草”在 2022 年的攻擊活動中，使用竊取的簽名對其惡意代碼進行偽裝，以降低在主機端暴露的風險。 三是攻擊憑借日益復雜隱蔽。攻擊者利用零日漏洞、開源軟件供應鏈等較為復雜隱蔽的手段滲透到我國目標系統中，這樣的攻擊事件日益增多。例如，Log4j 漏洞近兩年來受到各類涉華 APT 組織的青睞，僅在 2022 年上半年，我國就遭受了超過 8 千萬次利用 Log4j 漏洞的攻擊。

（三）攻擊目標呈現彌散特點

近年來，針對我國的 APT 攻擊目標呈現出重點突出、不斷擴散的特點。 一是重點攻擊政府、科研、國防等關鍵信息基礎設施，旨在竊取敏感信息、進行物理破壞以影響系統正常運行。涉華 APT 組織在長期攻擊活動中形成一定的行業傾向，如“海蓮花”攻擊行業集中于政府、科研、安全、教育、能源、通信等；“毒云藤”慣常攻擊政府、教育、科研、國防；“蔓靈花”慣常攻擊政府、軍工；“摩耶象”集中于政府、教育等。 二是政治中心和經濟發達省份是主要攻擊目標地區。2022 年，我國境內疑似連接過境外 APT 組織 C2 服務器的 IP 地址數量較多的前 10 個省份分別是北京、廣東、上海、福建、安徽、江蘇、浙江、陜西、遼寧、江西。可以看出，境外 APT 組織重點攻擊的主要目標地區具有較高的政治、經濟地位。

（四）美國對我國的網絡攻擊愈演愈烈

拜登政府上臺以來，持續實施“前置防御”“前沿狩獵”等進攻性網絡行動，瞄準目標國家開展數據竊取、后門部署、網絡攻擊等活動，其中 APT 是重要手段，并呈現出鮮明的特點： 一是潛伏時間長。隸屬于美國的 APT 組織技術復雜、溯源難度大，善于長遠規劃。2022 年公開披露的美國對我國的攻擊案例中，均是潛伏多年的老練 APT 組織，如 APT-C-40 針對系列行業龍頭企業開展長達十余年時間的攻擊就是典型例證。 二是“后門”利用多。美國囤有大量的網絡漏洞和武器平臺，在針對我國的行動中，前有“方程式”組織制造的頂級后門程序“電幕行動”（Bvp47）曝光，后有 NSA 特定入侵行動辦公室（TAO）的漏洞攻擊武器平臺“酸狐貍”揭開神秘面紗，具有大量打擊目標國家的“彈藥”和“發射器”。 三是攻擊目標“精”。隨著美國對我國的網絡攻擊國家化，美國在網絡空間逐漸采取一種更為精進的攻擊策略，即從傳統基于全領域全平臺的攻擊逐漸轉向特定重點目標，嵌入我國的重要供應鏈、關鍵基礎設施以及重要技術領域。 四是跳板部署廣。盟友是美網絡霸權的關鍵支柱，在高級復雜的網絡攻擊活動中，美國各級別的盟友在攻擊鏈中占據關鍵節點，這不僅可掩蓋發起網絡攻擊的真實網絡協議地址，增加了溯源難度，還可將盟友納入美網絡攻擊環，實施網絡空間集體行動。

四、趨勢研判

隨著近年來傳統 APT 組織的持續活躍和大量新興 APT 組織的不斷涌現，APT 作為網絡空間重要力量持續塑造“網緣”政治，并呈現出以下趨勢：

（一）APT 攻擊與國家戰略方向同頻共振

APT組織儼然已成為實現國家戰略目標的“先遣隊”，是配合網絡空間國家戰略布局的重要力量。 一是配合現實軍事戰爭。俄烏沖突中，多個國家級 APT 組織在情報收集、輔助打點、動向觀察等方面協助推進實體作戰行動。此外，APT 組織與一些國家政府深度捆綁，充當政府的“雇傭兵”或隸屬于政府的軍事網絡部門，可直接獲得政府的情報信息和零日漏洞工具支持，成為實現國家利益的重要途徑。 二是上升為政治“籌碼”。APT 攻擊已引發國家直接外交回應以及威脅使用武力回擊等行為，與現實國家行為聯動趨勢越來越明顯。 三是關基仍是重點目標。針對關鍵基礎設施和重要信息系統的 APT 攻擊持續增加，特別是針對重要民用基礎設施的攻擊將帶來更為直接的物理破壞。

（二）APT 組織攻防較量更趨復雜

在長期地緣沖突中，APT 組織之間、APT 組織與安全企業之間的攻防較量更為復雜和激烈。 一是敵對 APT 組織在攻擊手段上朝對抗化發展。近年來，部分 APT 組織吸收融合其他組織尤其是敵對方組織的攻擊策略，提升攻擊效率以滿足攻擊需求。如，活動于南亞地區的 Sidecopy 組織主要是為對抗來自印度的“響尾蛇”組織而成立的，通過模仿對手 TTPs 增加溯源難度。 二是新老組織在攻擊目標和手段上交織融合。共享基礎設施、惡意軟件編碼、武器庫在 APT 組織中日益普遍，如，“蔓靈花”“摩訶草”“摩羅桫”三大印度 APT 組織之間互相共享代碼、工具“同根同源”度高；“肚腦蟲”在一些攻擊活動中使用的工具特征和網絡基礎設施，與“蔓靈花”“摩訶草”存在重疊，不排除這些組織由更高層級的機構領導協調的可能性。 三是網絡安全企業逐漸成為攻防主體。近年來，網絡安全企業開始從“幕后”走到“臺前”，除配合政府實施 APT 的公開歸因溯源外，還直接參與到 APT 的攻防對抗中。

（三）供應鏈成為 APT 攻擊新目標

通過入侵軟件供應商并污染上游軟件代碼的供應鏈攻擊技術，具有隱蔽性高、影響面廣、邊界突破能力強、檢測防御困難等優勢，與 APT 攻擊者的訴求高度吻合，因此越來越多的 APT 組織在謀求供應鏈攻擊能力。 一是持續提升軟件供應鏈攻擊能力。攻擊軟件供應鏈主要是利用該領域軟件的受信性和規模性，通過較小的代價突破目標網絡進而獲取訪問權限，成為獲取情報和干擾對手的有力手段，相關組織包括“舒適熊”、Tallium、UNC2546、“拉撒路”等。微軟表示，APT 威脅行為者比供應鏈中的組織本身更了解組織信任關系的情況。 二是針對開源軟件的攻擊增加。目前，國內外現有大量的系統、軟件都是基于開源架構，開源軟件利用門檻低，影響范圍廣，可導致設備遠程受控。近年來，APT 組織正是利用開源軟件缺乏審查機制的缺陷，發掘針對 Web 應用、第三方軟件庫的劫持或投毒等攻擊技術，“暗度陳倉”實現攻擊目的。 三是邊界設備成為實施攻擊。APT 組織通過控制第三方網絡設備的邊界屬性，繞過攻擊目標的防御策略，實現入侵和橫向移動等操作，以極低的成本發動高隱匿性的網絡攻擊。

（四）針對新技術新應用的 APT 攻擊持續增加

區塊鏈、人工智能、云計算等新技術逐漸成為 APT 攻擊目標。 一是區塊鏈攻擊呈現生態化的特征。近幾年，隨著區塊鏈技術的迅猛發展，區塊鏈技術在數字貨幣、金融領域廣泛應用，對交易所、錢包、礦池等區塊鏈基礎設施的 APT 攻擊頻率增加，主要涉及數字貨幣盜取、敏感數據泄露等行為。 二是云基礎設施正在成為 APT 新戰場。云計算技術的迭代更新推動著云技術架構和應用模式不斷演進，云平臺服務商對接多個客戶，APT 組織可“一石多鳥”入侵多個目標，一定程度上提升了攻擊者的攻擊效益，刺激 APT 組織關注并挖掘更多云環境漏洞。 三是人工智能技術成為 APT 攻擊新憑借。以 ChatGPT 為代表的人工智能新運用正在成為攻擊者提高其有效性的利器，已發現 APT 組織利用 ChatGPT 開展社會工程攻擊、生成惡意軟件、創建虛假社交媒體資料或聊天機器人賬戶等。 四是空間技術領域成為 APT 攻擊新目標。隨著空間技術的發展以及戰略意義的凸顯，APT 攻擊者越來越多地將注意力轉向對空間技術的操縱和干擾，衛星技術開發商、生產商和運營商成為 APT 組織攻擊目標。如俄烏沖突中的 Viasat 攻擊事件將在未來戰爭中趨于常態。

（五）APT 攻擊“勒索化”趨勢越來越明顯

無論是 APT 攻擊“勒索化”還是勒索攻擊“APT 化”均是近年來的典型趨勢。APT 組織使用復雜的手段攻擊企業甚至關鍵基礎設施，并植入勒索軟件，在針對政府、醫療、交通、管道運輸等關鍵基礎設施的攻擊中尤為凸顯。 一是傳統 APT 組織利用勒索軟件獲取經濟利益。隨著勒索軟件的升級以及勒索手法的不斷演進，一些老牌 APT 組織開始嘗試利用勒索軟件攻擊關鍵基礎設施。在此策略下，攻擊者往往通過漏洞利用、社會工程或各種其他手段獲得對目標網絡的非授權訪問，隨后投放勒索軟件。 二是加密貨幣成為 APT 重點目標。隨著加密貨幣價格的飆升，以及非同質化代幣（NFT）和去中心化金融（DeFi）業務的普及，加密貨幣成為 APT 組織的重點目標，其中 DeFi 平臺的安全漏洞成為竊取加密貨幣的主要入口。 三是 APT 攻擊與勒索攻擊實現模式融合。勒索組織與 APT 組織的界限越來越模糊，一些勒索組織綜合利用魚叉攻擊、商品化與定制化惡意軟件、遠端控制工具、漏洞利用等。如，朝鮮勒索組織 DEV-0530 利用 H0lyGh0st 勒索軟件來攻擊全球中小型企業，手段與方式與 APT 組織已無差異。此外，一些 APT 組織逐漸采取勒索組織慣用的“入侵＋泄露”的行動模式，具體手法包括突破目標、竊取情報以及公開發布內部信息，以達到破壞目的。

（六）對 APT 事件的調查與響應出現強烈的政治化趨勢

作為網絡空間中能夠反映國家意志的攻擊形式，APT 攻擊政治化傾向日益明顯，針對 APT 的歸因溯源、威懾響應以及規范限制等均成為大國博弈的熱點內容。 一是國家間 APT 歸因證據漸趨模糊化。為服務于網絡威懾的國家戰略目的，美國近年來在歸因領域逐漸采取一種模糊化的處理，在公布的歸因技術報告中普遍隱藏關鍵樣本分析，而多在語言文字、行為模式等外圍證據上著墨，以擴大威懾之勢，同時為調查方爭取更多回旋余地。 二是用“點名羞辱”曝光 APT 組織戰技法并致失效。近年來，美西方國家頻繁采用“點名羞辱”（Naming and Shaming）的策略，即曝光網絡攻擊者采用的 TTPs，對攻擊方起到限制作用并警示潛在受害者；同時在政治和國際關系層面上，此類做法高調宣揚調查方的網絡安全能力，更是對被調查方的強烈施壓。 三是針對 APT 組織實施“精準制裁”。美西方國家逐漸將網絡歸因的結果作為司法起訴和財政制裁的“呈堂證供”，以公開網絡歸因結果為開展后續起訴和制裁奠定基礎。此外，相關制裁行為還會將個人作為直接目標，通過公開發布 APT 活動相關人士的詳細信息并發布通緝令，推行“精準制裁”以實現威懾效果。