360-全球高级持续性威胁（APT）2018年报告（网络安全）-2019.1-44页.pdf.pdf

《360-全球高级持续性威胁（APT）2018年报告（网络安全）-2019.1-44页.pdf.pdf》由会员分享，可在线阅读，更多相关《360-全球高级持续性威胁（APT）2018年报告（网络安全）-2019.1-44页.pdf.pdf（45页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 主要观点 2018 年，全球关于 APT 活动的研究成果呈现井喷态势。造成这种情 况的主要原因有三个方面： 一是全球贸易战加剧了APT活动的扩散； 二是 APT 研究最能反映安全企业的综合能力；三是 APT 活动的检测 与防御需要全球性的威胁情报共享。 军队与国防、政府、金融、外交、能源是 2018 年全球 APT 攻击者 的主要目标。值得注意的是，国家的基础性行业也正面临着越来越多 的高级威胁攻击风险，如科研、医疗、传媒、电信等。 0day 漏洞的在野利用成为全球安全圈最为关注的焦点之一。0day 漏 洞在野利用的频频现身， 事实上是在倒逼安全企业必须打破传统的攻 防理念，实现安全能力的大

2、幅提升与技术体系的全面升级。 APT 攻击者正在越来越多尝试规避和隐藏其在攻击活动中留下的与 其自身角色相关的线索，或者通过 false flag（假旗行动）和模仿其 他组织的特征来迷惑分析人员，从而使 APT 活动的组织归属分析变 得越来越困难。 2018 年 1- 12 月，360 威胁情报中心共监测到全球 99 个专业机构发 布的各类高级威胁研究报告 478 份，涉及相关威胁来源 109 个；其中 以被确认的 APT 组织为 53 个，涉及被攻击目标国家和地区 79 个。 其中，公开报告数量较 2017 年增长了 360%。 2018 年， 在全球公开披露的高级威胁分析报告中， 被攻击目

3、标涉及最 多的 5 个行业领域分别是：军队与国防（17.1%）、政府（16.0%）、 金融（15.5%）、外交（11.6%）、能源（10.5%）。 针对韩国、中东、美国、俄罗斯、巴基斯坦等地区的 APT 活动最为 活跃，被各国安全机构披露的数量也最多。 APT28、Lazarus、Group 123、海莲花等攻击组织在 2018 年被全球各 大研究机构提及的最多，也最为活跃。 截至 2018 年 12 月， 360 威胁情报中心已累计截获针对中国的 APT 组 织 38 个。在这些组织中，2018 年依旧活跃的已公开 APT 组织包括 海莲花、 摩诃草、 蔓灵花、 Darkhotel， Gro

4、up 123、 毒云藤和蓝宝菇等。 2018 年，比较知名的 APT 活动 0day 漏洞在野利用事件就有 14 个之 多。 0day 漏洞在野利用的频频现身， 事实上是在倒逼安全企业必须打 破传统的攻防理念， 实现安全能力的大幅提升与技术体系的全面升级。 关键词：APTAPT、海莲花海莲花、毒云藤、蓝宝菇、毒云藤、蓝宝菇、0 0dayday 漏洞漏洞 目 录 研究背景 .1 第一章 公开披露的全球高级持续性威胁.2 一、 APT 研究持续火热 . 2 二、 受害目标的行业与地域. 4 三、 攻击者来源 . 5 第二章 高级持续性威胁背后的攻击者 .7 一、 最活跃的国家背景组织. 7 （一）

5、 APT28 . 8 （二） APT29 . 9 （三） Lazarus Group（APT-C-26） . 10 二、 值得关注的 APT 攻击者 . 11 （一） 肚脑虫（APT-C-35） . 11 （二） 蔓灵花 . 13 （三） Group 123 . 13 （四） APT38 . 14 （五） Hades . 15 （六） MuddyWater . 16 第三章 针对中国境内的 APT 组织和威胁 . 18 一、 海莲花（APT-C-00） . 18 二、 毒云藤（APT-C-01） . 19 三、 蓝宝菇（APT-C-12） . 20 四、 DARKHOTEL（APT-C-06）

6、 . 21 第四章 APT 威胁的现状和挑战 . 22 一、 进化中的 APT 攻防 . 22 二、 多样化的攻击投放方式. 22 （一） 文档投放的形式多样化 . 22 （二） 利用文件格式的限制 . 23 （三） 利用新的系统文件格式特性 . 24 （四） 利用旧的技术实现攻击 . 25 三、 0DAY 漏洞和在野利用 . 25 四、 APT 分析面临的挑战. 26 五、 APT 威胁的演变趋势. 27 附录 1 360 威胁情报中心 . 28 附录 2 360 的 APT 研究团队 . 29 （一） 360追日团队（Helios Team） . 29 （二） 360高级威胁应对团队 .

7、29 附录 3 360 天眼 . 30 附录 4 参考链接 . 31 1 研究背景 APT（Advanced Persistent Threat，高级持续性威胁）组织通常具有国家 政府背景或情报机构背景，是专门从事高级网络间谍活动的攻击组织。APT 攻击的主要目的是情报的刺探、收集和监控，在某些情况下也会有牟利意图 和破坏意图。 APT 组织的主要攻击目标包括政府、 军队、 外交、 国防， 科研、 能源以及其他一些具有关键信息基础设施性质的行业和产业。 自 2015 年 5 月，360 披露 APT 组织“海莲花”（首个由境内商业机构 披露的境外 APT 组织） 以来， 360 威胁情报中心就

8、开始对全球范围内的 APT 组织及其活动展开了持续的监测和深入的研究。 监测显示， 2018 年是有史以 来， 全球范围内 APT 活动最为活跃的时期； 同时， 全球各大安全机构对 APT 活动的研究也达到空前的火热的程度。 本报告是 360 威胁情报中心基于公开威胁情报分析和自有安全监测分 析，对 2018 全球高级持续性威胁活动及其相关组织的总结分析报告。相关 研究内容主要分成三个部分： 1） 高级持续性威胁背后的攻击者 结合全年国内外各个安全研究机构、安全厂商披露的高级威胁活动报告 内容的统计分析，对 2018 年高级威胁类攻击态势进行总结。 2） 针对中国境内的 APT 组织和威胁 3

9、60 威胁情报中心基于 360 公司内部多个研究团队对多个针对中国境内 发动攻击的 APT 组织的持续跟踪分析， 总结了包括海莲花、 摩诃草、 Darkhotel、 蓝宝菇、毒云藤等组织在 2018 年的活动情况。 3） APT 威胁的现状和挑战 总结 APT 威胁的现状和应对 APT 威胁所面临的挑战， 并对 APT 威胁的 变化趋势进行预测。 2 第一章 公开披露的全球高级持续性威胁 360 威胁情报中心在 2018 年持续对高级持续性威胁相关的公开报告进 行收集，其中包括但不限于以下类型。 APT 攻击团伙报告、APT 攻击行动报告、疑似 APT 的定向攻击事件、 和 APT 攻击相关的

10、恶意代码和漏洞分析，以及我们认为需要关注的网络犯 罪团伙及其相关活动。 国内外安全厂商、安全研究人员通常会对高级持续性威胁活动涉及的攻 击团伙、攻击活动进行命名，并以“Actor / Group / Gang“等对威胁背后的攻击 者进行称谓，其中包括了明确的 APT 组织，明确的网络犯罪团伙，以及暂时 不太明确攻击者信息的攻击活动命名。 需要说明的是：不同的安全厂商有时候会对同一背景来源的威胁进行不 同的别名命名，这取决于其内部在最早跟踪威胁活动时的命名约定，所以往 往需要根据威胁攻击的同一来源进行归类。 我们结合上述说明对 2018 年以来收集的公开报告内容进行分析，并从 公开披露的信息中分

11、析全球高级持续性威胁的态势情况。 一、 APT 研究持续火热 自 2015 年 5 月，首个由境内商业机构发现的 APT 组织“海莲花”被 披露以来，国内外安全机构对 APT 的研究就呈现持续、加速升温的态势。 特别是到了 2018 年，全球关于 APT 活动的研究成果呈现井喷态势。 统计显示，2018 年 1- 12 月，360 威胁情报中心共监测到全球 99 个专业 机构 （含媒体） 发布的各类高级威胁研究报告 478 份， 涉及相关威胁来源 109 个（部分高级威胁来源尚不能被确定为 APT 组织）；其中以被确认的 APT 组织为 53 个（只统计了有明确编号或名称的 APT 组织），涉

12、及被攻击目标 国家和地区 79 个。其中，公开报告数量较 2017 年增长了 360%。 APT 研究机研究机构构数量数量 公开公开高级高级威威胁胁报告报告数量数量 涉及涉及 APT 组织数组织数量量 被被攻击国家攻击国家 和地区和地区数量数量 2016 41 100 43 38 2017 46 104 36 31 2018 99 478 53 79 近近两年两年涨幅涨幅 115% 360% 47% 155% 表 1 2018 年全球公开的 APT 研究报告情况 3 发布发布 APT 报告机构数量报告机构数量 发布发布 APT 报告数量报告数量 涉及涉及 APT 组织数量组织数量 美国美国 5

13、2 216 95 中国中国 12 80 39 俄罗斯俄罗斯 2 28 15 韩国韩国 6 21 10 以色列以色列 5 19 12 斯洛伐克斯洛伐克 1 17 7 英国英国 5 6 5 加拿大加拿大 1 6 1 意大利意大利 1 5 3 荷兰荷兰 3 3 1 表 2 2018 年发布 APT 相关研究报告数量最多的十个国家 从公开报告的发布渠道统计来看， 2018 年国内安全厂商加大了对高级威 胁攻击事件及相关攻击者的披露频率，其中 360 来源披露的高级威胁类报告 数量处于首位，并且明显超过其他安全厂商。 如果仅从不同安全厂商披露的相关攻击者、攻击行动以及其中明确的 APT 组织数量来看，国

14、内安全厂商也和国外主流安全厂商，如 Palo Alto Networks、卡巴斯基等相差无几。这也在一定程度上表明国内安全机构安 全研究水平的普遍提高。但是，如果从新组织（未被其他机构披露过的组 织）的发现与披露情况来看，国内有此能力的安全机构仍然寥寥无几。 APT 之所以会成为全球安全机构争相研究的热点，主要有三点原因： 1） 在全球贸易战背景下，以 APT 为代表的全球性网络攻击活动的日 益活跃和不断扩散，因此也受到了安全机构越来越多的关注。 2） APT 是最为隐秘和高级的网络攻击活动， APT 的监测是安全机构技 术能力的综合体现， 所以有越来越多的安全机构在 APT 研究上加大了投入

15、。 4 3） 防范 APT 需要全球性的威胁情报共享与合作，研究报告是威胁情 报共享的重要方式。 下图给出了 360 威胁情报中心在 2018 年监测到的高级持续性威胁相关 公开报告情况，其中下半年报告披露的频次和数量明显高于上半年。 二、 受害目标的行业与地域 2018 年，在全球公开披露的高级威胁分析报告中，被攻击目标涉及最 多的 5 个行业领域分别是：军队与国防（17.1%）、政府（16.0%）、金融 （15.5%）、外交（11.6%）、能源（10.5%）。值得注意的是，国家的基础性 行业也正面临越来越多的高级威胁攻击风险， 如科研、 医疗、 传媒、 电信等。 金融行业主要面临一些成熟的

16、网络犯罪团伙的攻击威胁， 如 MageCart、 Cobalt Group 等等，其组织化的成员结构和成熟的攻击工具实现了对目标行 业的规模化攻击， 这与过去的普通黑客攻击是完全不同的。 除了针对金融外， 电子商务、在线零售等也是其攻击目标。 5 而高级威胁活动涉及目标的国家和地域分布情况统计如下图 （摘录自公 开报告中提到的受害目标所属国家或地域） 。 其中， 圆形面积越大， 说明 2018 年全球公开高级威胁研究报告中，提及该地区为攻击目标的报告数量越多。 这也在一定程度上反映出高级威胁和 APT 组织对目标国家攻击的活跃程度。 可以看到，在 2018 年，高级威胁攻击活动几乎覆盖了全球绝

17、大部分地 区的国家和区域。其中，针对韩国、中东、美国、俄罗斯、巴基斯坦等地区 的 APT 活动最为活跃，也被披露的最多。 三、 攻击者来源 下图给出了 2018 年高级威胁组织被披露情况的分布。其中，圆形面积 越大，说明该组织在 2018 年被全球各大安全机构披露的次数越多。从图中 可以看出，APT28、Lazarus、Group 123、海莲花等攻击组织在 2018 年被全 球各大研究机构提及的最多，也最为活跃。 6 下图给出了 2018 年被全球各大安全机构披露次数最多的 10 个 APT 组 织及其相关报告的数量。 7 第二章 高级持续性威胁背后的攻击者 APT 威胁，通常作为与地缘政治

18、、情报活动意图下的网络间谍活动，实 施长久性的情报刺探、收集和监控。实施 APT 攻击的攻击组织，通常具有 国家、政府或情报机构背景，拥有丰富的资源用于实施攻击活动。 在对 APT 威胁攻击的持续跟踪过程中，研究者通常会将明确的 APT 攻击行动或攻击组织进行命名，用于对攻击背后实际的攻击组织映射成一个 虚拟的代号，以便更好的区分和识别具体来源的攻击活动。 在对历史公开的 APT 威胁的研究过程中，我们发现对 APT 类威胁的 大量命名，给实际的 APT 威胁归属问题的分析带来了困扰。我们需要更加 明确的对实施 APT 攻击的攻击组织进行区分，并用于追溯真实的攻击组织 实体。 我们结合大量公开

19、对攻击组织的研究成果23 （具体文档内容参见附 录链接），提出我们对 APT 攻击组织的一些判别标准： APT 组织实施的攻击行动具有明确的意图和目的，其表现在每次攻击 活动的目标是针对性选择的，攻击最终达到的目标通常与地缘政治、情报活 动等相符。 APT 组织实施的攻击活动不仅体现在时间跨度的长久，而且体现在延 续性上，即可能针对多个不同的攻击目标群体进行多次分阶段的攻击尝试。 由于通常无法看到 APT 组织所有攻击活动的全貌，APT 组织的分析往往需 要依赖于多个外部情报来源的作证。 APT 组织实施攻击的过程中使用了其特有的战术技术，并往往拥有其 特有的攻击工具，即使在后续的攻击活动中攻

20、击者可能选择变换其攻击的手 法，但依然会保持过去的一些攻击特征。 在追溯 APT 组织的攻击活动过程中，能够明确追溯到攻击者所在的地 域或找到对应真实攻击者身份的虚拟标识信息。 依据上述标准， 我们认为， 目前全球范围内， 历史披露的明确的 APT 攻 击组织至少有 80 个。 一、 最活跃的国家背景组织 在 2018 年中 360 威胁情报中心发布的高级持续性威胁报告中，我们按 照区域性划分，介绍了部分 APT 攻击组织，例如 APT28、APT29、Lazarus Group 等。这些 APT 组织在 2018 年继续保持较为频繁的攻击活动并多次被 安全厂商公开披露，我们在这里对其在 20

21、18 年的主要活动情况进行介绍。 8 （一） APT28 APT28 组织在 2018 年继续使用其 Zebrocy 恶意载荷对全球范围的政府、 军队、外交领域的目标人员和机构实施网络间谍活动。 Zebrocy 是 APT28 专用的攻击工具集，主要目的是用作侦察（收集上传 系统信息和截屏） 和部署下一阶段的攻击载荷。 Zebrocy 包含了.NET、 AutoIT、 Delphi、C+、PowerShell 和 Go 等多种语言开发形态。安全厂商也发现该组 织使用新的攻击恶意代码Cannon64， 其使用邮件协议作为C2的通信方式。 APT28 组织在 2018 年的主要攻击活动如下： 披露

22、时间披露时间 披露来源披露来源 概述概述 2018.3.9 Kaspersky 卡巴斯基总结了该组织在 2018 年的活动现状和趋势86 2018.4.24 ESET 安全厂商披露 APT28 近两年的攻击活动中主要使用Zebrocy 作为初始植入的攻击载荷87 2018.5.1 ARBOR NETWORKS 安全厂商发现 APT28 修改 Lojack 软件的控制域名实现对目标主机的监控88 2018.5.8 AP NEWS 美联社披露 APT28 组织伪装 IS 对美国军嫂发送死亡威胁信息89 2018.5.23 Cisco APT28 针对乌克兰家用路由器设备的攻击事件，被命名为 VPN

23、Filter90 2018.6.6 Palo Alto Networks 针对两个涉外政府机构的攻击活动85 2018.7.28 Security Affairs APT28 组织对美国民主党参议员 Claire McCaskill 及其工作人员在 2018 年的竞选连任进行攻击准备和尝试65 2018.9.27 ESET ESET 发现 APT28 组织实现的 UEFI rootkit 攻击巴尔干半岛及中欧和东欧的政府组织。66 2018.10.4 Symantec 安全厂商对 APT28 在 2017-2018 年期间针对欧洲和南美的军队和政府目标攻击活动的披露。67 2018.11.20

24、 ESET ESET 发现 APT28 从 2018 年 8 月使用了两个新的Zebrocy 攻击组件，并用于攻击中亚，东欧和中欧，针对大使馆、外交部、外交官68 2018.11.29 Accenture Security APT28 组织被命名为 SNAKEMACKEREL 的攻击行动，英国和荷兰政府都公开将 SNAKEMACKEREL 活动归功于俄罗斯军事情报局（RIS）69 2018.12.12 Palo Alto Networks 安全厂商对 APT28 组织从 2018 年 10 月 17 日到 2018 年11 月 15 日的多个用于鱼叉邮件攻击的恶意文档的总结分析，其文档作者或修

25、订者的名称均为 Joohn 70 表 3 APT28 组织在 2018 年被公开披露的主要活动情况 9 （二） APT29 APT29 组织在 2018 年频繁实施对目标行业和人员的鱼叉式网络攻击活 动7172，包括针对美国的军事机构、执法机构、国防承包商、媒体公司、 制药公司等。其实施鱼叉攻击是用于投放恶意的 LNK 文件，其中利用了该 组织特有的一种 LNK 文件格式的利用技术73。 该组织木马会执行内嵌的 PowerShell 脚本命令，并从 LNK 文件附加的 数据中解密释放恶意载荷和诱导的 PDF 文档文件。 10 （三） Lazarus Group（APT-C-26） 2018 年

26、以来，安全厂商对于 Lazarus Group 所属的攻击活动的区分开始 变得不是特别的明确，部分安全厂商开始采用独立命名的组织名称来识别针 对特定地域或者特定行业的攻击活动.360 威胁情报中心在 2018 年中发布的 APT 报告中也提及了 Lazarus Group 和一些子组织的命名与关系。 FireEye 将该组织攻击活动中包含经济动机的攻击活动归属为新的 APT 组织代号，即 APT38。关于 APT38 的情况，后续内容还有介绍。这里列举 了安全厂商披露的和 Lazarus Group 有关的，或疑似与其相关的攻击活动。 披露时间披露时间 披露来源披露来源 概述概述 2018.4

27、.24 McAfee 安全厂商披露 Lazarus 一系列攻击行动，并命名为Operation GhostSecret94 2018.4.27 Threatpost 泰国 CERT 发布朝鲜 Hidden Cobra 组织的 GhostSecret攻击行动预警91 2018.5.29 US-CERT 美国 CERT 发布了关于 HIDDEN COBRA 组织 RAT 工具和一个 SMB 蠕虫的预警92 2018.6.14 US-CERT 美国 CERT 再次发布 HIDDEN COBRA 使用 VBA 宏分发新的恶意代码预警93 2018.6.23 Security Affairs 针对墨西哥

28、银行、智利银行等多个南美银行的攻击 95 2018.7.10 Kaspersky 针对土耳其金融行业的攻击96 2018.8.15 360 360 高级威胁应对团队披露了疑似该组织模仿开源交易软件“Qt Bitcoin Trader”开发了一款名为“Celas Trade Pro”的数字加密货币交易软件的攻击活动，并同时针对 Windows 和 Mac 平台。74 2018.8.24 Check Point 安全厂商发现命名为 Ryuk 的勒索软件的定向攻击，其与 HERMES 在代码上保持诸多相似，而 HERMES 归属 Lazarus 75 2018.8.28 Securonix Secu

29、ronix 安全专家披露 Lazarus 对印度银行 Cosmos Bank 的攻击，其在 8 月 10 日-13 日造成了超过 9.4 亿卢比（1350 万美元）资金被盗取。76 2018.10.2 US-CERT 美国 DHS 发布 HIDDEN COBRA 针对 ATM 攻击的预警77 2018.11.20 Trend Micro 趋势科技披露 Lazarus 组织在 11 月份针对亚洲和非洲的 ATM 上的攻击，窃取了数百万美元。其也在 9 月对拉丁美洲的几家金融机构实施了攻击。78 2018.12.13 McAfee 安全厂商披露攻击行动 Operation Sharpshooter

30、，针对全球的核，防御，能源和金融公司，其植入物疑似来自 Lazarus 的 Duuzer 后门代码79 表 4 Lazarus Group 组织在 2018 年被公开披露的主要活动情况 11 二、 值得关注的 APT 攻击者 除了上述活跃的 APT 组织外， 我们在这里还对其他多个值得关注的， 针 对境外目标的 APT 组织的情况进行简要的介绍。 （一） 肚脑虫（APT-C-35） 肚脑虫，ARBOR NETWORKS 也称其为 Donot Team 4。该组织最早的 攻击活动可以追溯到 2016 年，其主要针对巴基斯坦和克什米尔地区的目标 人员。该组织使用了两种特定的攻击恶意框架，EHDev

31、el 和 yty，命名取自 恶意代码中的 PDB 路径信息。该组织使用的攻击载荷使用了多种语言开发， 包括 C+、.NET、Python、VBS 和 AutoIt。 360 威胁情报中心发现了该组织以“克什米尔问题”命名的诱饵漏洞文 档，该文档利用了 CVE-2017-8570 漏洞5，其主要的攻击流程如下图。 后续又发现该组织利用内嵌有恶意宏代码的 Excel 文档针对中国境内 的巴基斯坦重要商务人士实施的攻击6， 并向被控主机下发了多种载荷模块 文件。 12 360 烽火实验室也发现了该组织针对移动终端的攻击样本，其中复用了 部分控制模块9。 13 下表列举了肚脑虫组织在 2018 年主要

32、活动的披露情况： 披露时间披露时间 披露来源披露来源 概述概述 2018.3.8 ARBOR NETWORKS 安全厂商披露 Donot Team 从 2018 年 1 月以后使用的新的恶意代码框架 yty，用于文件收集、截屏和键盘记录，并用于攻击南亚的目标。4 2018.7.26 360 360 威胁情报中心发现伪装成克什米尔问题的漏洞利用文档。5 2018.8.14 360 360 烽火实验室发现一个伪装成克什米尔新闻服务应用的 RAT 程序，并共用了控制基础设施。9 2018.12.12 360 360 威胁情报中心发现该组织从 2018 年 5 月起针对中国境内的巴基斯坦重要商务人士的

33、持久性攻击活动。6 表 5 肚脑虫组织在 2018 年被公开披露的主要活动情况 （二） 蔓灵花 蔓灵花，是一个由 360 命名的 APT 组织，其他安全厂商也称其为 BITTER，该组织同样活跃在南亚地区。该组织最早的攻击活动可以追溯到 2013 年，并且至今仍旧活跃。该组织主要针对巴基斯坦。360 在过去也发现 过其针对中国境内目标的攻击活动。 蔓灵花组织主要使用鱼叉邮件向目标人员投放漏洞利用文档，其中包括 针对 Office 的漏洞文档和 InPage 文字处理软件的漏洞文档（InPage 是一个 专门针对乌尔都语使用者，即巴基斯坦国语设计的文字处理软件）。 360 威胁情报中心重点分析了

34、其利用 InPage 漏洞（CVE-2017-12824） 的相关攻击样本和漏洞利用细节10，并发现该组织与同样活跃在南亚地区 范围的其他 APT 组织的联系。 （三） Group 123 Group 123，又称 Reaper group，APT37，Geumseong121，Scarcruft。该 组织被普遍认为是来自东亚某国的另一个频繁活跃的 APT 组织，最早活跃 于 2012 年，被认为与 2016 年 Operation Daybreak 和 Operation Erebus 有关。 Group 123 组织早期的攻击活动主要针对韩国，2017 年后延伸攻击目标 至半岛范围，包括日

35、本，越南和中东。其主要针对工业垂直领域，包括化学 品、电子、制造、航空航天、汽车和医疗保健实体11。360 威胁情报中心也 曾发现该组织针对中国境内目标的攻击活动。 该组织在过去实施的攻击活动中主要以情报窃取为意图，并呈现出一些 其特有的战术技术特点，包括： 1） 同时拥有对 PC（Windows） 和 Android 终端的攻击武器； 14 2） 对韩国网站实施入侵并作为攻击载荷分发和控制回传渠道，或者使 用云盘，如 Yandex、Dropbox 等作为攻击载荷分发和控制回传渠道； 3） 使用 HWP 漏洞对韩国目标人员实施鱼叉攻击12。 Group 123 组织的相关攻击活动在 2018

36、年被频繁披露，下表列举了其公 开的主要活动情况。 披露时间披露时间 披露来源披露来源 概述概述 2018.1.16 Cisco Talos Talos 总结了 Group 123 组织从 2017 年到 2018 年对韩国目标实施的六次攻击行动，包括：Golden Time，Evil New Year，Are you Happy，FreeMilk，North Korean Human Rights 和 Evil New Year 2018。37 2018.2.1 ESTsecurity 利用 CVE-2018-4878 Flash Player 0day 漏洞对韩国实施鱼叉攻击，其将该组织也称

37、为 Geumseong121，后续多家安全厂商对该 0day 漏洞和攻击细节进行了分析。38 2018.2.20 FireEye FireEye 将其命名为 APT37，也称 Reaper，并指出其为朝鲜的攻击者。39 2018.4.2 Cisco Talos 安全厂商对一个虚假防病毒恶意软件 KevDroid 的分析45。多家安全厂商对其分析和归属的判断4748。 2018.5.3 AhnLab 韩国安全厂商详细披露了该组织在过去的攻击活动分析报告，将其命名为 Red Eyes。40 2018.5.31 Cisco Talos Talos 发现一个针对韩国的恶意 HWP 文档，其伪装成美国朝

38、鲜首脑会议的韩语标题，并从失陷网站上下载NavRAT。41 2018.8.22 ESTsecurity 韩国安全厂商披露 Operation Rocket Man，分析了其针对Windows 和 Android 两个平台的攻击活动。46 2018.10.1 Palo Alto Networks 安全厂商在跟踪分析 NOKKI 恶意代码家族时，发现其与 Reaper 组织有关，该恶意代码家族主要以政治动机攻击俄语和柬埔寨语的人员和组织。42 2018.11.8 360 360 威胁情报中心发现疑似该组织使用的 HWP 软件0day 样本12，后续韩国安全厂商确认了该样本与Operation Ko

39、rean Sword 行动的联系。43 2018.12.13 ESTsecurity 韩国安全厂商披露 Operation Blackbird，主要为该组织实施针对移动终端的攻击活动。44 表 6 Group 123 组织在 2018 年被公开披露的主要活动情况 （四） APT38 美国司法部在 2018 年 9 月公开披露了一份非常详细的据称是针对朝鲜 黑客 PARK JIN HYOK 及其相关组织 Chosun Expo 过去实施的攻击活动的 司法指控8。 在该报告中指出 PARK 黑客及其相关组织与过去 SONY 娱乐15 攻击事件，全球范围多个银行 SWIFT 系统被攻击事件，Wann

40、aCry，以及韩 国、美国军事人员和机构被攻击的相关事件有关。上述相关事件在过去也多 次被国内外安全厂商归属为 APT 组织 Lazarus。 FireEye 在后续发布 APT38 组织报告中7， 将以全球金融机构和银行为 目标，窃取巨额在线资金为动机的 APT 威胁活动归属为 APT38，以区分 Lazarus Group。 从美国 DoJ 和 FireEye 的报告中我们也可以看到美国情报机构和安全 厂商对 APT 活动的取证和情报溯源的方式，其用于 APT 威胁分析溯源的 数据留存时间跨度之长和广泛的情报数据积累是其能够回溯到真实世界攻 击者身份的基础。 （五） Hades Hades 组织，其最早被发现和披