近幾年來，APT攻擊事件此起彼伏，從針對烏克蘭國家電網的網路攻擊事件，到孟加拉國央行被黑客攻擊導致8100元美元被竊取，APT攻擊以其無孔不入的觸角延伸到了全世界各地，幾乎所有的重要行業如政府、金融、電力、教育都受到了APT攻擊的威脅。神祕的APT攻擊從攻擊開始到達成目的，有的甚至可能潛伏長達數年，對APT組織的未知導致人們在面臨APT攻擊時的茫然無措。

在本屆ISC2016中國網際網路安全大會召開前夕，360威脅情報中心追日團隊再出力作，正式對外公佈2016上半年十大APT攻擊組織，揭密那些曾經造成重大網路安全事件的神祕黑客組織。

No.1：DarkHotel(APT-C-06)

APT-C-06組織是境外APT組織，其主要目標除了中國，還有其他國家。主要目的是竊取敏感資料資訊，DarkHotel的活動可以視為APT-C-06組織一系列攻擊活動之一。在針對中國地區的攻擊中，該組織主要針對政府、科研領域進行攻擊，且非常專注於某特定領域，相關攻擊行動最早可以追溯到2007年，至今還非常活躍。從我們掌握的證據來看該組織有可能是由境外政府支援的黑客團體或情報機構。

該組織多次利用0day漏洞發動攻擊，進一步使用的惡意程式碼非常複雜，相關功能模組達到數十種，涉及惡意程式碼數量超過200個。該組織主要針對Windows系統進行攻擊，近期還會對基於Android系統的移動裝置進行攻擊。另外該組織進行載荷投遞的方式除了傳統的魚叉郵件和水坑式攻擊等常見手法，還主要基於另一種特殊的攻擊手法。

No.2：APT28(APT-C-20)

APT28(APT-C-20)，又稱Pawn Storm、Sofacy、Sednit、Fancy Bear和Strontium。APT28組織被懷疑幕後和俄羅斯政府有關，該組織相關攻擊時間最早可以追溯到2007年。其主要目標包括國防工業、軍隊、政府組織和媒體。期間使用了大量0day漏洞，相關惡意程式碼除了針對windows、Linux等PC作業系統，還會針對蘋果IOS等移動裝置作業系統。

早前也曾被懷疑與北大西洋公約組織網路攻擊事件有關。APT28組織在2015年第一季度有大量的活動，用於攻擊NATO成員國和歐洲、亞洲、中東政府。目前有許多安全廠商懷疑其與俄羅斯政府有關，而早前也曾被懷疑祕密調查MH17事件。從2016年開始該組織最新的目標瞄準了土耳其高階官員。

No.3：Lazarus(APT-C-26)

2016年2月25日，Lazarus黑客組織以及相關攻擊行動由卡巴斯基實驗室、AlienVault實驗室和Novetta等安全企業協作分析並揭露。2013年針對韓國金融機構和媒體公司的DarkSeoul攻擊行動和2014年針對索尼影視娛樂公司(Sony Pictures Entertainment，SPE)攻擊的幕後組織都是Lazarus組織。

Lazarus組織歷史活動相關重大事件節點

2016年2月孟加拉國央行被黑客攻擊導致8100萬美元被竊取的事件被曝光後，如越南先鋒銀行、厄瓜多銀行等，針對銀行SWIFT系統的其他網路攻擊事件逐一被公開。在相關事件曝光後，我們立即對相關攻擊事件的展示溯源分析，就越南先鋒銀行相關攻擊樣本，我們形成了技術報告：《SWIFT之殤——針對越南先鋒銀行的黑客攻擊技術初探》。

在分析孟加拉國央行和越南先鋒銀行攻擊事件期間，我們發現近期曝光的這4起針對銀行的攻擊事件並非孤立的，而很有可能是由一個組織或多個組織協同發動的不同攻擊行動。另外通過對惡意程式碼同源性分析，我們可以確定本次針對孟加拉國央行和越南先鋒銀行的相關惡意程式碼與Lazarus組織有關聯，但我們不確定幕後的攻擊組織是Lazarus組織

No.4：海蓮花(APT-C-00)

海蓮花(APT-C-00)組織是我們2015年5月釋出的針對中國攻擊的某著名境外APT組織，該組織主要針對中國政府、科研院所和海事機構等重要領域發起攻擊。基於海量情報資料和研究分析，我們還原了APT-C-00組織的完整攻擊行動，相關攻擊行動最早可以追溯到2011年，期間不僅針對中國，同時還針對其他國家發起攻擊。該組織大量使用水坑式攻擊和魚叉式釣魚郵件攻擊，攻擊不限於Windows系統，還針對其他非Windows作業系統，相關攻擊至今還非常活躍。

No.5：Carbanak(APT-C-11)

Carbanak(即Anunak)攻擊組織，是一個跨國網路犯罪團伙。2013年起，該犯罪團伙總計向全球約30個國家和地區的100家銀行、電子支付系統和其他金融機構發動了攻擊，目前相關攻擊活動還很活躍。在《2015年中國高階持續性威脅(APT)研究報告》中我們提到了Carbanak，通過研究分析該組織相關攻擊手法和意圖，我們將該組織視為針對金融行業的犯罪型APT組織。

Carbanak組織一般通過社會工程學、漏洞利用等方式攻擊金融機構員工的計算機，進而入侵銀行網路。進一步攻擊者通過內部網路，對計算機進行視訊監控，檢視和記錄負責資金轉賬系統的銀行員工的螢幕。通過這種方式，攻擊者可以瞭解到銀行職工工作的全部詳情，從而模仿銀行職工的行為，盜取資金和現金。

另外該組織還可以控制、操作銀行的ATM機，命令這些機器在指定的時間吐出現金。當到支付時間時，該組織會派人在ATM機旁邊等待，以取走機器“主動”吐出的現金。

No.6：摩訶草(APT-C-09)

摩訶草組織(APT-C-09)，又稱HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork，是一個來自於南亞地區的境外APT組織，該組織已持續活躍了7年。摩訶草組織最早由Norman安全公司於2013年曝光，隨後又有其他安全廠商持續追蹤並披露該組織的最新活動，但該組織並未由於相關攻擊行動曝光而停止對相關目標的攻擊，相反從2015年開始更加活躍。

摩訶草組織主要針對中國、巴基斯坦等亞洲地區國家進行網路間諜活動，其中以竊取敏感資訊為主。相關攻擊活動最早可以追溯到2009年11月，至今還非常活躍。在針對中國地區的攻擊中，該組織主要針對政府機構、科研教育領域進行攻擊，其中以科研教育領域為主。

從2009年至今該組織針對不同國家和領域至少發動了3次攻擊行動和1次疑似攻擊行動，期間使用了大量漏洞，其中至少包括一次0day漏洞攻擊，相關惡意程式碼非常繁雜，惡意程式碼數量超過了上千個。載荷投遞的方式，主要是以魚叉郵件進行惡意程式碼的傳播，另外會涉及少量水坑攻擊，在最近一次攻擊行動中基於即時通訊工具和社交網路也是主要的惡意程式碼投遞途徑。進一步還會使用釣魚網站進行社會工程學攻擊。該組織主要針對Windows系統進行攻擊，同時也會針對Mac OS X系統進行攻擊，從2015年開始還會針對Android系統的移動裝置進行攻擊。

No.7：沙蟲(APT-C-13)

沙蟲組織的主要目標領域有：政府、教育、能源機構和電信運營商。進一步主要針對歐美國家政府、北約，以及烏克蘭政府展開間諜活動。該組織曾使用0day漏洞(CVE-2014-4114)針對烏克蘭政府發起了一次釣魚攻擊。而在威爾士舉行的討論烏克蘭危機的北約峰會針對美國也進行了攻擊。該組織還使用了BlackEnergy惡意軟體。而且沙蟲組織不僅僅只進行常規的網路間諜活動，還針對SCADA系統進行了攻擊，研究者認為相關活動是為了之後的網路攻擊進行偵查跟蹤。另外有少量證據表明，針對烏克蘭電力系統等工業領域的網路攻擊中涉及到了BlackEnergy惡意軟體。如果此次攻擊的確使用了BlackEnergy惡意軟體的話，那有可能幕後會關聯到沙蟲組織。

No.8：洋蔥狗(APT-C-03)

2016年2月25日，Lazarus黑客組織以及相關攻擊行動由卡巴斯基實驗室、AlienVault實驗室和Novetta等安全企業協作分析並揭露。2013年針對韓國金融機構和媒體公司的DarkSeoul攻擊行動和2014年針對索尼影視娛樂公司(Sony Pictures Entertainment，SPE)攻擊的幕後組織都是Lazarus組織。該組織主要攻擊以韓國為主的亞洲國家，進一步針對的行業有政府、娛樂&媒體、軍隊、航空航天、金融、基礎建設機構。

在2015年我們監控到一個針對朝鮮語系國家的APT攻擊組織，涉及政府、交通、能源等行業。通過我們深入分析暫未發現該組織與Lazarus組織之間有聯絡。進一步我們將該組織2013年開始持續到2015年發動的攻擊，命名為“洋蔥狗”行動(Operation OnionDog)，命名主要是依據2015年出現的木馬主要依託onion city作為C&C服務，以及惡意程式碼檔名有dog.jpg字樣。相關惡意程式碼最早出現在2011年5月左右。至今至少發起過三次集中攻擊。分別是2013年、2014年7月-8月和2015年7月-9月，在之後我們捕獲到了96個惡意程式碼，C&C域名、IP數量為14個。

“洋蔥狗”惡意程式利用了朝鮮語系國家流行辦公軟體Hangul的漏洞傳播，並通過USB蠕蟲擺渡攻擊隔離網目標。此外，“洋蔥狗”還使用了暗網網橋(Onion City)通訊，藉此無需洋蔥瀏覽器就可直接訪問暗網中的域名，使其真實身份隱蔽在完全匿名的Tor網路裡。另外通過我們深入分析，我們推測該組織可能存在使用其他已知APT組織特有的技術和資源，目的是嫁禍其他組織或干擾安全研究人員進行分析追溯。

No.9：美人魚(APT-C-07)

美人魚行動是境外APT組織主要針對政府機構的攻擊活動，持續時間長達6年的網路間諜活動，已經證實有針對丹麥外交部的攻擊。相關攻擊行動最早可以追溯到2010年4月，最近一次攻擊是在2016年1月。截至目前我們總共捕獲到惡意程式碼樣本284個，C&C域名35個。

2015年6月，我們首次注意到美人魚行動中涉及的惡意程式碼，並展開關聯分析，通過大資料關聯分析我們已經確定相關攻擊行動最早可以追溯到2010年4月，以及關聯出上百個惡意樣本檔案，另外我們懷疑載荷投遞採用了水坑攻擊的方式，進一步結合惡意程式碼中誘餌檔案的內容和其他情報資料，我們初步判定這是一次以竊取敏感資訊為目的的針對性攻擊，且目標熟悉英語或波斯語。

2016年1月，丹麥國防部情報局(DDIS，Danish Defence Intelligence Service)所屬的網路安全中心(CFCS，Centre for Cyber Security)釋出了一份名為“關於對外交部APT攻擊的報告”的APT研究報告，報告主要內容是CFCS發現了一起從2014年12月至2015年7月針對丹麥外交部的APT攻擊，相關攻擊主要利用魚叉郵件進行載荷投遞。

CFCS揭露的這次APT攻擊，就是我們在2015年6月發現的美人魚行動，針對丹麥外交部的相關魚叉郵件攻擊屬於美人魚行動的一部分。從CFCS的報告中我們確定了美人魚行動的攻擊目標至少包括以丹麥外交部為主的政府機構，其載荷投遞方式至少包括魚叉式釣魚郵件攻擊。

通過相關線索分析，我們初步推測美人魚行動幕後組織來自中東地區。

No.10：人面獅(APT-C-15)

人面獅行動是活躍在中東地區的網路間諜活動，主要目標可能涉及到埃及和以色列等國家的不同組織，目的是竊取目標敏感資料資訊。活躍時間主要集中在2014年6月到2015年11月期間，相關攻擊活動最早可以追溯到2011年12月。主要採用利用社交網路進行水坑攻擊，截止到目前我總共捕獲到惡意程式碼樣本314個，C&C域名7個。

人面獅樣本將主程式進行偽裝成文件誘導使用者點選，然後釋放一系列的dll，根據功能分為9個外掛模組，通過註冊資源管理器外掛的方式來實現核心dll自啟動，然後由核心dll根據配置檔案進行遠端dll注入，將其他功能dll模組注入的對應的程序中，所以程式執行的時候是沒有主程式的。使用者被感染後比較難以發現，且使用多種加密方式干擾分析，根據PDB路徑可以看出使用了持續整合工具，從側面反映了專案比較龐大，開發者應該為專業的組織。

進一步我們分析推測人面獅行動的幕後組織是依託第三方組織開發相關惡意軟體，使用相關惡意軟體併發起相關攻擊行動的幕後組織應該來自中東地區。

以下內容僅供閱讀參考