世界上哪些黑客團伙路子最野？

這里有一份世界著名黑客團伙“勢力地圖”，這些黑客團伙不是即興作案，相反，他們非常有耐心地針對一個特定目標，以各種匪夷所思地手段入侵，有時他們默默地潛伏著，收集關(guān)于目標對象的一切，只待需要發(fā)動時“引爆炸彈”。

問題是，被攻擊的對象也不是什么“軟柿子”，它們可能是重要的政治、軍事、金融機構(gòu)，甚至還有不弱的防守力量。那么，這么“暗黑”的黑客組織到底有哪些？和雷鋒網(wǎng)一起來看看，今年這些APT（高級可持續(xù)攻擊）黑客組織的“榜單”。

一、 東亞

圍繞東亞一直是全球 APT 威脅活動最為活躍的地域之一，最早在 2011 年曝光的 Lazarus Group 是歷史上少數(shù)幾個最為活躍的 APT 組織之一。

Lazarus Group，據(jù)公開披露被認為是朝鮮 Bureau 121 背景下的APT組織，歷史曾攻擊索尼娛樂，全球多家銀行SWIFT系統(tǒng)以及和Wannacry勒索病毒有關(guān)。2018 年 9 月，美國 DoJ 和 FBI 聯(lián)合公開指控朝鮮黑客PARK JIN HYOK及Chosun Expo機構(gòu)與上述攻擊事件有關(guān)，并指出其背后為朝鮮政府。

近年來針對 Lazarus 活動的披露有所減少，其攻擊目標主要為金融和加密貨幣相關(guān)，推測其動機更傾向于獲得經(jīng)濟利益。

Lazarus組織在近半年的主要攻擊活動，如圖所示：

Lazarus使用的攻擊工具如下：

除了 Lazarus，在近兩年來，另外兩個朝鮮語系的 APT 團伙表現(xiàn)出了異常的活躍，分別是 Group 123 和Kimsuky 。近年來，朝鮮半島的政治局勢日益趨向于緩和的局勢，朝鮮政府也積極就朝核問題、朝韓雙方關(guān)系與美國、韓國展開對話，但緩和的政治外交局勢下，并不能掩蓋東亞區(qū)域依然頻繁的網(wǎng)絡(luò)情報活動。

結(jié)合兩個組織歷史攻擊活動，我們推測 Kimsuky 更關(guān)注于朝鮮半島的政治外交問題，并通常結(jié)合相關(guān)熱點事件用于誘餌文檔內(nèi)容；而 Group 123則針對更廣泛的網(wǎng)絡(luò)情報獲取。

Group 123和Kimsuky通常都利用向目標投遞魚叉郵件和誘餌文檔，包括Office文檔和HWP文檔，誘導(dǎo)目標人員觸發(fā)惡意宏代碼或漏洞文檔來建立攻擊立足點。其也通過滲透韓國網(wǎng)站作為載荷分發(fā)和控制回傳通道。   

Group 123 還偏好使用云服務(wù)作為其竊取目標主機信息和資料的重要途徑，其常用的ROKRAT后門就是基于云服務(wù)的實現(xiàn)，利用包括 Dropbox，Yandex，pCloud等云服務(wù)。

二、東南亞

海蓮花組織是東南亞地區(qū)最為活躍的 APT 組織。

海蓮花組織最初主要以中國政府、科研院所、海事機構(gòu)等行業(yè)領(lǐng)域?qū)嵤┕?，這也與當(dāng)時的南海局勢有關(guān)。但在近年來的攻擊活動中，其目標地域延伸至柬埔寨、菲律賓、越南等東南亞其他國家，而其針對中國境內(nèi)的 APT 攻擊中，也出現(xiàn)了針對境內(nèi)高校和金融投資機構(gòu)的攻擊活動。

海蓮花組織是一個快速變化的 APT 組織，其擅長與將定制化的公開攻擊工具和技術(shù)和自定制惡意代碼相結(jié)合，例如 Cobalt Strike 和 fingerprintjs2 是其常用的攻擊武器之一。

海蓮花組織經(jīng)過多年的發(fā)展，形成了非常成熟的攻擊戰(zhàn)術(shù)技術(shù)特征，并擅長于利用多層 shellcode 和腳本化語言混淆其攻擊載荷來逃避終端威脅檢測，往往能夠達到比較好的攻擊效果。

我們總結(jié)了海蓮花組織的常用 TTP 以便于更好的跟蹤其技術(shù)特點的變化。

  ［ 海蓮花近半年攻擊目標］

三、南亞次大陸

南亞次大陸是另一個 APT 組織活動的熱點區(qū)域，從 2013 年 5 月 Norman 安全公司披露 Hangover 行動（即摩訶草組織）以來，出現(xiàn)了多個不同命名的APT組織在該地域持續(xù)性的活躍，并且延伸出錯綜復(fù)雜的關(guān)聯(lián)性，包括摩訶草、蔓靈花、肚腦蟲、Confucius，以及其他命名的攻擊活動和攻擊工具，包括Sidewinder、Urpage、Bahamut、WindShift。

造成歸屬問題的主要因素是上述APT活動大多使用非特定的攻擊載荷和工具，腳本化和多種語言開發(fā)的載荷往往干擾著歸屬分析判斷，包括使用.Net、Delphi、AutoIt、Python等。但從歷史攻擊活動來看，其也出現(xiàn)了一些共性：

同時具備攻擊PC和智能手機平臺能力；

巴基斯坦是主要的攻擊目標，部分組織也會攻擊中國境內(nèi)；

政府、軍事目標是其攻擊的主要目標，并且投放的誘餌文檔大多也圍繞該類熱點新聞，如克什米爾問題；

以下是結(jié)合歷史公開報告的披露時間制作的相關(guān) APT 組織的活躍時間線，推測這些 APT 組織可能從 2015-2016 甚至更早出現(xiàn)了分化，并且趨向于形成多個規(guī)模不大的小型攻擊團伙的趨勢。

四、東歐

APT28、APT29、Turla作為東歐地區(qū)最為知名的 APT 組織一直廣泛活躍。

美國 DHS 曾在 2016 年 12 月對 APT28、APT29 組織在同年針對DNC的攻擊事件以及干擾美國大選活動發(fā)布了相關(guān)調(diào)查報告，并將其惡意攻擊活動稱為 GRIZZLY STEPPE，并直指俄羅斯情報部門。

來自倫敦國王學(xué)院的安全研究人員在SAS 2017年會議上介紹了Turla APT組織的前身是90年代著名網(wǎng)絡(luò)間諜組織 Moonlight Maze 。

國外安全廠商ESET在2018年披露了BlackEnergy的繼任者，命名為GreyEnergy[17]，一個專注于工業(yè)系統(tǒng)的APT組織。

從2019年上半年的公開披露情況來看，除了APT28以外，其他三個組織的公開披露活動有所減少。而APT28 組織的主要活動似乎更多旨在干擾其目標國家的選舉活動。

安全廠商披露在 3 月捕獲的一份在野誘餌文檔，其使用的內(nèi)容以烏克蘭總統(tǒng)競選人Volodymyr Zelenskiy和烏俄問題為誘導(dǎo)，其正值烏克蘭總統(tǒng)競選時機。

國外安全廠商也披露從 2018 年中以來，APT28 組織針對歐洲的網(wǎng)絡(luò)間諜活動大幅增加，以及針對歐洲民主機構(gòu)的攻擊，其也可能與 2019 年的歐盟議會選舉有關(guān)。

從戰(zhàn)術(shù)和技術(shù)角度來看，似乎從 2018 年起 APT28 更傾向于使用多種語言開發(fā)的 Zebrocy 攻擊組件并用于魚叉攻擊后的第一階段的載荷植入。其模塊可能由 Delphi，C#，Python，AutoIt甚至 Go?？ò驮谧钚碌难芯繄蟾嬷袑⑵渥鳛楠毩⒌慕M織進行追蹤。而在 ESET 對 Turla 最新的研究報告中，其更傾向于基于定制化的開源項目（如Posh-SecMod）和腳本，并加載其過去的自定義武器庫。

我們并不認為這些改變是其攻擊能力削弱的體現(xiàn)，在 2018 年曝光的 VPNFilter 事件和 Lojax rootkit 都被懷疑與東歐 APT 組織有關(guān)。我們推測攻擊組織做出積極的改變旨在提高攻擊的效率和效果，并著力于混淆和隱藏攻擊活動的來源，以及對抗目標網(wǎng)絡(luò)的防御機制。

五、中東

中東地區(qū)，其擁有全球最為復(fù)雜的政治、外交和軍事局勢，多年以來，充斥著戰(zhàn)亂、恐怖主義、軍事行動以及頻繁的網(wǎng)絡(luò)間諜活動和情報活動。在此背景下，網(wǎng)絡(luò)攻擊活動往往作為刺探對手情報，監(jiān)控人員輿論，配合間諜活動和情報活動甚至制造虛假言論和虛假新聞的最有效方式之一。而在中東地區(qū)，公開披露最多的屬據(jù)稱為伊朗政府背景的相關(guān)網(wǎng)絡(luò)攻擊活動，這也源于伊朗與以美國為首的西方國家的政治和外交關(guān)系相左的原因。

我們在這里列舉了近半年來中東地區(qū)發(fā)生的一些重點事件：

多家安全廠商披露大規(guī)模的DNS劫持活動，并稱疑似與伊朗有關(guān)[26 27 28]；

卡巴多次披露FruityArmor(又稱Stealth Falcon)使用的多個Windows提權(quán)0day漏洞(CVE-2019-0797、CVE-2018-8453、CVE-2018-8611、CVE-2018-8589)；

據(jù)稱是伊朗背景的多個APT組織發(fā)生內(nèi)部資料和網(wǎng)絡(luò)武器泄露；

美、伊的外交形式急劇惡化，伊朗政府從情報活動、軍事活動等多方面采取更加強硬的姿態(tài)，包括破壞CIA在其情報網(wǎng)絡(luò)、擊落無人機等，美國回應(yīng)將對其采取網(wǎng)絡(luò)軍事行動。

我們在這里結(jié)合上半年泄露的據(jù)稱是伊朗黑客組織的資料和網(wǎng)絡(luò)武器對其近年來主要活躍的APT組織進行總結(jié)。

今年上半年發(fā)生了多起針對中東地區(qū) APT 組織的相關(guān)資料泄露和拍賣事件，通過泄露資料，再一次幫助我們將虛擬的 APT 組織與現(xiàn)實世界的人員、機構(gòu)及國家聯(lián)系到一起。

APT34，又稱 OilRig ，一個最早從 2014 年起就開始活躍的 APT 組織，其被公開披露聲稱與伊朗情報與國家安全部(Iranian Ministry of Intelligence)有關(guān)。在過去，其主要活躍地

區(qū)為中東，并針對如金融，政府，能源，化學(xué)和電信等多個行業(yè)實施攻擊。

泄露的網(wǎng)絡(luò)武器庫：

另一個被公開認為和伊朗有關(guān)的 APT 組織 MuddyWater，最早由 Palo Alto Networks Unit 42 于 2017 年11月發(fā)現(xiàn)并命名，并迅速成為中東地區(qū)非?；钴S的APT組織之一，其主要使用 Powershell 后門 POWERSTATS，以及名為 MuddyC3 的控制后臺。

有黑客成員公開聲稱 MuddyWater 和另一個APT組織 APT33 關(guān)聯(lián)到同一個名為 Nima Nikjoo 的人員，并將其相關(guān)資料進行拍賣。

六、北美

結(jié)合公開披露資料，作為網(wǎng)絡(luò)空間能力的強國，歷史曝光的震網(wǎng)事件，方程式組織都被認為與北美情報機構(gòu)有關(guān)。

從 2013 年以來，相關(guān)情報機構(gòu)的多次泄密事件展示了其完備的網(wǎng)絡(luò)空間攻擊體系和自動化攻擊武器，并暴露了其將中國作為其實施全球網(wǎng)絡(luò)間諜活動的重要目標之一的相關(guān)證據(jù)。

在 2018 和 2019 年的美國國防部網(wǎng)絡(luò)戰(zhàn)略情報報告中，都將中國和俄羅斯作為其重要的戰(zhàn)略對手。

在 2018 年的網(wǎng)絡(luò)空間戰(zhàn)略摘要中提到了“Defend forward”概念，旨在從源頭上破壞或制止惡意網(wǎng)絡(luò)空間活動，并且同年美國政府取消了第 20 號總統(tǒng)政策指令，取消了針對美國對手的進攻性網(wǎng)絡(luò)攻擊批準程序的一些限制。這些都表明美國作為超級網(wǎng)絡(luò)強國正在積極進入網(wǎng)絡(luò)空間的備戰(zhàn)狀態(tài)。而在近期紐約時報也報道了美國正在加強針對俄羅斯電網(wǎng)的網(wǎng)絡(luò)入侵，展示了其在網(wǎng)絡(luò)空間攻防中采取了更加主動積極的姿態(tài)。

從歷史泄露的方程式資料分析，其具備的網(wǎng)絡(luò)攻擊能力是全方位的，下圖是根據(jù)泄露 NSA 資料和公開情報整理的其網(wǎng)絡(luò)武器及攻擊技術(shù)所覆蓋的領(lǐng)域和目標。

雷鋒網(wǎng)注：以上主要內(nèi)容摘編自《全球高級持續(xù)性威脅（APT）活動2019年中報告》，報告出具方：奇安信威脅情報中心。

關(guān)注雷鋒網(wǎng)旗下微信公眾號“宅客頻道”，可以獲得更多有趣、有料的安全內(nèi)容。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。