2021年度中國周邊APT組織活動年鑒

全球矚目的北京冬奧會即將開幕，2022年中國多項重大活動也正在積極籌備，在這一關鍵時間節點，中國成為了全球APT組織網絡攻擊的重要目標。

01  APT攻擊趨勢總述

近年來，網絡空間安全威脅發生巨大的變化，具備國家背景的APT攻擊也越來越多的被安全研究機構曝光。

國家背景的APT 攻擊有著復雜度高、對抗性強、隱蔽性強等特點，通常有著竊取政府單位的國家機密、重要企業的科技信息、破壞網絡基礎設施等強烈的政治與經濟目的。網絡空間安全的格局雖不斷變化，但隱藏在迷霧背后的，往往是國家間的博弈與較量。

隨著國際政治和經濟形勢的變化以及我國國際地位不斷崛起，我國也成為了全球網絡攻擊的主要受害國之一，境外各類政府背景APT黑客組織對事關我國的政治、經濟、軍事、科技情報虎視眈眈，針對我國重要單位及關鍵基礎設施的APT攻擊趨勢越演越烈。

02 典型APT組織活動簡述

為了掌握APT攻擊在全球的活動情況、并快速高效地應對APT攻擊，知道創宇 NDR團隊一直以來非常重視對APT組織的研究，長期跟蹤對中國發起 APT 攻擊的活躍組織共計30個，其中包括OceanLotus（apt32）、Bitter（蔓靈花）、Patchwork（魔科草）、DarkHotel（黑店）等等。

2021年，知道創宇NDR團隊將注意力集中在我國周邊APT組織上，對來自于東亞、東南亞、東北亞、南亞、西亞、東歐、中東的APT組織進行長期深入的持續性跟蹤，并主要對下圖所示的21個活躍APT組織的攻擊活動進行監控和追蹤分析。

各APT攻擊重點目標，主要包含幾大類：

OceanLotus海蓮花，東南亞“最知名刺客”

OceanLotus（海蓮花）是一個長期針對中國及周邊東南亞國家（地區）發起APT攻擊的東南亞黑客組織，由于其多年來對我國黨政機關、國防軍工、科研院所等核心要害單位發起攻擊，近兩年攻擊范圍甚至延伸到了關鍵信息基礎設施、能源、軍民融合等各個領域，因此NDR團隊重點關注OceanLotus的攻擊活動。

根據NDR2021年監控到的OceanLotus發起的APT攻擊事件解析發現，該組織2021年重點攻擊目標為關基設施、政府單位，同時也會攻擊一些防護較弱的目標作為攻擊跳板使用。

攻擊活動頻繁的Oceanlotus組織在2021年逐步放棄了釣魚郵件的攻擊方式，開始使用漏洞攻擊、供應鏈攻擊等方式作為第一步攻擊，成功后再通過植入遠控木馬等待發起下一步行為。這種攻擊方式與之前相比有明顯區別，其攻擊技術含量明顯提高。

通過分析OceanLotus在2021年進行的攻擊活動，NDR團隊發現其會重點對vSphere Web客戶端、MikroTik、OA系統、D-LINK、三星路由器、F5防火墻等設備或系統進行滲透攻擊，攻擊成功后將其作為代理C&C服務器，2021年監測到涉及C&C和相關代理共計400+。

部分活躍C&C

Bitter蔓靈花，游蕩于中巴的“幽靈魅影”

蔓靈花（T-APT-17、BITTER）APT組織是一個長期針對中國、巴基斯坦等國家進行攻擊活動的APT組織，該APT組織為目前活躍的針對中國境內目標進行攻擊的境外APT組織之一。該組織主要針對政府、軍工、能源等單位進行攻擊以竊取敏感資料，具有強烈的政治背景。

Bitter組織多年來主要采用魚叉釣魚的方式，以對相關目標單位的個人直接發送嵌入了攻擊誘餌的釣魚郵件的形式發起攻擊。此外，為了提高成功率，Bitter組織也會先對目標發送安全提示相關的釣魚郵件，誘使被釣魚用戶修改郵件賬戶密碼，從而獲取用戶的郵箱密碼，而后再用被控制的郵箱繼續對企業內的其他人發送嵌入攻擊誘餌的釣魚郵件。

NDR團隊在2021年捕獲Bitter組織相關釣魚攻擊200+次，說明Bitter在2021年“一如既往”以釣魚攻擊作為主要攻擊方式，值得一提的是，NDR團隊在年初發現，Bitter往往使用Windows內核漏洞以提高其攻擊成功率。

與此同時，根據NDR團隊今年監控到的APT事件及其他技術手段對該組織的行動監控后發現，Bitter組織在2021年依舊保持其常態化熱點攻擊的特點，其目標行業主要聚集在航空航天、軍工、超大型企業、國家政務、部分高校。

注：以上為《2021年度中國周邊APT組織活動年鑒》中關于OceanLotus和Bitter這兩個典型APT組織的內容截取。想要了解更多內容，請掃描文末二維碼獲取”2021APT年鑒“。

03 2021年攻擊監測結論摘要

通過對數十個APT組織在2021年進行全年監測、持續跟蹤和研究分析，NDR安全分析團隊得出如下結論：

• 技術水平較高的APT組織逐步采用更多高級攻擊手段，如供應鏈攻擊、多層跳板、IOT設備作為跳板等，使攻擊監測難度升級；
• 越來越多的APT攻擊使用通用攻擊框架，使攻擊事件定性難度升級；
• 傳統社工釣魚方式在各APT組織中均出現過，主要原因是社工釣魚的攻擊方式成本低且靈活性高；
• 2021年各組織其儲備工具、攻擊鏈的豐富性升級，可以有效躲避攻擊檢查、增加攻擊潛伏時間。

NDR團隊預測，2022年APT攻擊會更多的用到如IOT設備做為多級跳板、供應鏈攻擊、通用工具等方法來應對傳統的監測手段。

04 知道創宇NDR流量監測系統介紹

知道創宇NDR流量監測系統是知道創宇同一線作戰人員一起實戰打造，針對活躍APT組織的流量檢測分析產品，與創宇安全智腦、創宇云防御創宇盾聯動，通過對流量進行智能分析，精準高效的發現敵人對我國關鍵基礎設施的APT攻擊。

網絡空間已成為國家繼陸、海、空、天四個疆域之后的第五疆域已是不爭的事實，而“和平與發展”是任何領域內，全人類共同的目標和愿望。知道創宇在網絡安全技術及APT發現、檢測能力上的不懈努力，同樣是希望可以在技術能力上縮小差距，讓我們每個個體，包括企業和組織都有能力發現威脅、防御威脅，捍衛自身安全。每個個體的安全和自身抵御攻擊的能力才是構建賽博空間安全穩定和平的基礎。