###### 发布于 2020/06/29 ----- 前言 / 全球高级持续性威胁(APT)2020年中报告 ###### 前 言 奇安信威胁情报中心多年来持续跟踪分析全球高级持续性威胁(APT)活动趋势,总结高级持续性威 胁背后的攻击组织在过去一段时间中的攻击活动和战术技术特点。 如今,2020年即将过去不平静的半年,而在全球网络安全领域也充满了变化和挑战。1月底,奇安信威 胁情报中心监测到国外多个 APT 组织利用新冠疫情相关热点事件为诱饵对中国境内目标和机构实 施 APT 攻击活动。随后利用新冠疫情实施的 APT 攻击活动被频频曝光。同时,由于企业远程办公和利 用VPN远程接入企业网络的情况越来越普遍,多例围绕 VPN 应用的 APT 攻击活动也被发现。 本报告,总结了2020年上半年,全球范围内的主要APT活动情况,包括新的 APT 组织和地缘 APT 组织 的活动变化趋势,以及上半年全球 APT 事件所呈现的趋势。 ----- 目录 / 全球高级持续性威胁(APT)2020年中报告 ###### 目 录 ###### 01 01 03 06 07 09 12 14 17 19 21 22 23 24 ###### 第一部分 上半年全球APT威胁态势 一、新冠疫情下的 APT 威胁活动 二、在野漏洞利用攻击的加剧 三、远程办公带来的新的 APT 威胁攻击面 第二部分 地缘背景下的APT组织和活动 一、东亚 二、东南亚 三、南亚次大陆 四、东欧 五、中东 总 结 附录1 奇安信威胁情报中心 附录2 红雨滴团队(REDDRIP TEAM) 附录 参考链接 ----- 第一部分 上半年全球APT威胁态势 / 全球高级持续性威胁(APT)2020年中报告 01 ###### 第一部分 上半年全球APT 威胁态势 一、 新冠疫情下的 APT 威胁活动 2020 年1 月下旬开始,新冠肺炎疫情爆发。在此疫情形势下,APT 活动的活跃程度似乎并未受到影 响,反而借用疫情热点事件内容为诱饵的攻击活动变得越发频繁。 根据奇安信红雨滴团队基于疫情相关网络攻击活动的监控来看,网络空间的攻击随着新冠病毒的扩 撒而变化。 前期,从2020 年1 月下旬至3 月初,相关网络攻击集中于针对汉语使用者,并多借以疫情相关中文热点 诱饵信息进行攻击。相关诱饵包含的信息例如:“武汉旅行”、“申请登记”、”信息收集”、”卫生部”等等。 中后期,从2 月中旬开始,以疫情信息为诱饵针对全球范围的网络攻击开始激增。诱饵信息开始转变为 多种语言,以” Covid19”、”Covid”、”CORONA VIRUS”、”Coronavirus”、”COVID-19”等诱饵信息为主。 下图为红雨滴团队根据攻击活动相关的诱饵热词制作的词云图 ----- 第一部分 上半年全球APT威胁态势 / 全球高级持续性威胁(APT)2020年中报告 02 奇安信威胁情报中心持续跟踪着疫情相 关攻击活动,2020年3月下旬,我们曾发布 《COVID-19 | 新冠病毒笼罩下的全球疫情 相关网络攻击分析报告》[6]一文,披露了 2020年第一季度疫情相关攻击活动,之后, 在红雨滴团队的持续监测过程中,我们又 捕获了Lazarus、响尾蛇等组织利用疫情相 关信息的攻击活动。 例如Lazarus组织利用疫情相关信息分发 HWP恶意文档针对韩国的攻击活动。 我们整理了利用新冠疫情为诱饵内容的 APT攻击组织和活动信息,包括如右图的 APT 组织和活动。 根据奇安信威胁情报中心捕获的攻击样本 等信息,我们在右图中列举了截止目前为 止借疫情进行APT攻击的团伙活跃程度。 ProjectM 7% 其它 3.5% Kimsuky 10.5% 毒云藤 18.5% Konni 7% Lazarus 3.5% 疫情期间 APT攻击 活跃比例 响尾蛇 7% 蔓灵花 3.5% 海莲花 29% 摩诃草 10.5% 活跃地域 APT组织和活动 东亚 Lazarus Group、Kimsuky、KONNI、毒云藤 东南亚 海莲花 南亚 东欧 中东 Charming Kitten 摩诃草、蔓灵花、SideWinder、Transparent Tribe Gamaredon Group ----- 第一部分 上半年全球APT威胁态势 / 全球高级持续性威胁(APT)2020年中报告 03 这些APT团伙主要攻击包括政府、军事、医疗等行业目标及相关人员,并且境外 APT 组织也积极利用 疫情为诱饵针对我国目标实施 APT 攻击活动。 除了上述 APT 组织以外,网络犯罪团伙或威胁活动也利用疫情事件传播自身的恶意程序,其中包括 Gorgon、TA505以及Packrat等。 ###### 二、 在野漏洞利用攻击的加剧 在2020年第一季度就被曝光和披露了多起在野漏洞利用的 APT 攻击活动: DarkHotel 使用两个针对浏览器的0Day 漏洞(CVE-2019-17026、CVE-2020-0674)针对中国 发起APT 攻击; 国外安全厂商披露Microsoft Exchange Control Panel (ECP) 漏洞CVE-2020-0688 被在野利用; 火狐浏览器披露两个竞争条件导致的UAF 漏洞CVE-2020-6819 和CVE-2020-6820 被在野利用; Chrome 浏览器漏洞CVE-2020-6418 被在野利用; 某反病毒产品存在两个0day 漏洞CVE-2020-8467 和CVE-2020-8468 被在野利用。 其中奇安信威胁情报中心捕获了DarkHotel利用CVE-2019-1367微软IE浏览器远程代码执行漏洞针 对我国的定向攻击,由于相应利用代码在2019年 7月19日就被上传至受攻击服务器,而该漏洞微软在 2019年9月份才修补,因此在攻击发生的当时漏洞还处于0day漏洞状态。所以可以推断,攻击者最晚 在2019年7月就利用了该0day漏洞对我国实施网络攻击。 ----- 第一部分 上半年全球APT威胁态势 / 全球高级持续性威胁(APT)2020年中报告 04 经过奇安信红雨滴团队对监控到的受害网络资产、攻击行为、恶意代码的详细分析和推理后认为: DarkHotel APT组织本次针对多个国内重要机构的内部系统管理页面植入IE 0day漏洞以执行水坑攻 击,进而控制系统管理员的计算机以实施更广泛的入侵及横向移动。我们还原的整个攻击流程如下: 5 获取更多重点 单位机密信息 C2 系统管理员 4 被攻击者控制 入侵重要机构系统 后台植入IE 0day漏洞 系统管理员访问 2 3 水坑攻击:触发IE 0day 内部系统 漏洞攻击并植入木马 系统管理员 后台页面 (受害者管理的更多重点资产) DarkHotel |Col1|Col2| |---|---| |重点资产1 重点资产2 重点资产N|| 除了上述已经定性的APT攻击活动,还有一系列移动端已知漏洞也被各类国家级APT团伙用于定向 攻击: ----- 第一部分 上半年全球APT威胁态势 / 全球高级持续性威胁(APT)2020年中报告 05 图引自:https://promon.co/strandhogg-2-0/ 同时,在使用漏洞方面,不同国家 级APT组织存在不同的利用漏洞 的方式,而在2020年上半年,奇 安信威胁情报中心独家披露了关 于某国网络军火商,制作的一套 IOT僵尸网络框架。 右图为整个僵尸网络的网络拓扑 图,该僵尸网络采用了通过VPN 集群和Tor节点混合的流量回传 机制,并将最终的数据回连到唯 整个僵尸网络的网络拓扑图 一一台用于接收所有数据的主机,该主机通过VPN接入最左侧的APM服务器环境,即 Apache+PH P+MySQL。 ----- 第一部分 上半年全球APT威胁态势 / 全球高级持续性威胁(APT)2020年中报告 06 其主要相关模块如下: **· 暴力破解模块** **· 快速网络扫描模块:** **· 多平台载荷部署模块** 当然,除了这些表面的简单漏洞攻击之外,一些关于物联网的0day漏洞武器模块都会留有接口提供 安装部署。参考此前的APT28组织构建的VPNFilter蠕虫型僵尸网络、北美地区情报机构通过入侵 MikroTik RouterOS组建的僵尸网络,不难看出高维度网军均在IOT类僵尸网络中抢夺制高点,这对 于在隐匿行踪与流量捕获方面都将是一个高级威胁趋势。 ###### 三、 远程办公带来的新的 APT 威胁攻击面 新冠疫情在全球范围的蔓延,导致很多公司和机构采用了远程办公的方式,其通常依赖于 VPN 应用 接入企业内部网络,这样也暴露了可用于攻击的重要攻击入口。从历史披露的 APT 活动来看,利用 VPN 或远程访问的脆弱性作为攻击入口一直较少被披露过。 上半年,有国外 APT 组织利用国内某知名安全公司VPN 的漏洞实现载荷的下发。除此以外,国外安全 厂商披露的Fox Kitten组织就利用了多个 VPN 漏洞访问目标内网,其中包括针对Pulse Secure( CVE-2019-11510)、Fortinet FortiOS(CVE-2018-13379)、Palo Alto Networks VPN( CVE-2018-1579)。 此外,在疫情期间,DarkHotel和Wellmess组织分别利用我国厂商的VPN漏洞进行攻击,前者在这次 行动主要针对基层单位,后者则主要针对中国多家高级别科研机构。当然,无论是手法还是攻击目标, 均可见预谋已久。 ----- 第二部分 地缘背景下的APT组织和活动 / 全球高级持续性威胁(APT)2020年中报告 07 ###### 第二部分 地缘背景下的APT 组织和活动 从上半年的全球 APT 组织和活动披露来看,APT 威胁的整体活跃水平还是保持了一个比较高的频 度,主要活跃的 APT 组织还是过去熟知的,中东地区依然是 APT 活动最为频繁和错综复杂的地域, 活跃着数量众多的 APT 组织。 在上半年的公开 APT 类情报中,出现了4 个新命名的 APT 组织和活动,并且主要活跃于中东地区。 ###### 1.WildPressure WildPressure 是卡巴披露的一个恶意攻击活动[1],该活动最早于2019 年8 月被发现,其分发了一个 成熟的C ++ 木马,并且所有的木马文件的编译时间戳都是相同的,均为2019 年3 月。唯一实现的加密 是针对不同受害者具有不同64 字节密钥的RC4 算法。该活动主要针对中东地区的工业相关实体。 ###### 2. 诺崇狮 诺崇狮是由奇安信威胁情报中心新发现并命名的一个 APT 组织[2],该组织活跃在中东地区,其最早 的样本文件可以追溯到2013 年9 月,在其历史活动中通常利用社交网络(如 Twitter,Telegram, youtube 等)进行非定向的水坑传播式钓鱼攻击及定向目标的鱼叉攻击,并主要针对移动终端实施 攻击。 |2013.09.18 2015.04.22 2017.09.17 首个攻击样本出现。 在也门干预行动阶段 持续在 Youtube 媒体平 “Operation Restor- 台上,进行先后五次的水 ing Hope”首 天,于 坑攻击,合计有万名用户 Twitter 社交平台上陆 看到钓鱼信息。钓鱼攻击 诺崇狮(APT组织) 续发起多个水坑和鱼 者至少有两名。 叉攻击。钓鱼攻击中至 少有四名。 2018.08.02 2018.06.20 2018.01.15 2017.09.25|Col2|Col3|Col4| |---|---|---|---| ||2018.08.02|2018.06.20|2018.01.15| 一名钓鱼攻击者在 Gem-Flash 网站发布 钓鱼游戏信息,进行 水坑攻击。 一名钓鱼攻击者在 Qassimy 游戏网站 发布钓鱼游戏信息, 进行水坑攻击。 一名钓鱼攻击者在 ADSGASTE 数字门户 网站发布世界比直播 的钓鱼信息,进行水 坑攻击。 钓鱼攻击者在 Telegram 聊天平台上 创建2018 世界杯直 播相关的钓鱼频道 “cups2018”, 进行水 坑攻击。 ----- 第二部分 地缘背景下的APT组织和活动 / 全球高级持续性威胁(APT)2020年中报告 08 ###### 3.Fox Kitten Fox Kitten 是由国外安全厂商 ClearSky 发现并命名的中东地区APT 组织[3]。ClearSky在2019年第 四季度发现其持续三年的攻击活动,该团伙可能和 APT33和 APT34相关,并且也确定了 APT33和 APT39之间的联系。 相关活动是通过使用各种攻击性工具进行的,其中大多数是基于开放的源代码,而有些是自行开发 的。其还利用了 RDP 和 VPN 的漏洞。 ###### 4.Nazar Nazar 是国外安全研究人员在OPCDE 会议上公开披露和命名的 APT 活动[4],其是对ShadowBro kers 泄露资料中,TeDi签名为SIG37的 APT 组织的归属。而 TeDi 签名是某西方大国情报机构对全球 其他 APT 组织和活动的跟踪项目,并且以 sigXX 的形式代号进行命名。CrySyS实验室在此前对 TeDi 签名 SIG37归因为IronTiger,而此次安全研究人员对其发表了不同的结论,其实际攻击活动可能和 中东地区有关,并且最早可以追溯到2008年,并集中在2010-2013年。 在此报告中,我们依旧按 APT 组织主要活动的地域分布对其进行分析和跟踪,2020年上半年全球主 要活跃的 APT 组织和活动地域分布如下图所示。 攻击能力级别 +++ 具备相当复杂的自定义攻击框架和丰富0day漏洞攻击资源。 ++ 具备成熟的自制攻击载荷,漏洞利用和攻击技术,攻击活跃。 + 具备攻击武器的组合使用和定制能力,缺乏完备的自制攻击工具或攻击不活跃。 圆圈大小 代表地缘性APT组织近年来活跃频度,主要根据公开披露事件和攻击活动。 图例 疑似地域归属 未知地域归属 ----- 第二部分 地缘背景下的APT组织和活动 / 全球高级持续性威胁(APT)2020年中报告 09 ## 东亚 ### East Asia ----- 第二部分 地缘背景下的APT组织和活动 / 全球高级持续性威胁(APT)2020年中报告 10 2020 年上半年前期东亚地区的 APT 组织主要以 Kimsuky 和 KONNI 的 APT 活动为主,其主要攻击 包括韩国在内的目标。相关攻击活动继续以鱼叉邮件投递诱饵文档为主,其也积极利用新冠疫情作为 热点事件分发攻击诱饵。在4 月中旬之后,东亚地区的老牌 APT 组织Lazarus 开始发起攻击活动,并 利用波音等国际大公司招聘信息为诱饵开展了多次攻击。 在过去我们也曾总结过 Kimsuky 组织主要以政治动机为目的,重点针对韩国目标的攻击活动,这里 我们总结上半年的部分攻击活动如下: ----- 第二部分 地缘背景下的APT组织和活动 / 全球高级持续性威胁(APT)2020年中报告 11 从上述新的攻击工具功能说明也可以看出,Lazarus Group 一直在频繁开发和更新其攻击工具集。 之后自四月初开始,Lazarus Group 开展了多次攻击活动,使用了以波音公司、军舰企业等敏感企业 招聘信息的诱饵文档。 以波音,军舰相关为诱饵的样本内容 DarkHotel 是东亚地区另一个活跃的 APT 组织,其擅长于利用0day 和1day 漏洞实施攻击。该组织 上半年多次被监测到针对我国境内目标实施攻击,其中主要包括利用了两个浏览器0day 漏洞 (CVE-2020-0674,CVE-2019-17026)针对我国政府机构实施 APT 攻击,以及利用国内某知名安全公 司VPN 漏洞针对境内多个机构实施 APT 攻击活动。 安全厂商ESET 近日又披露了该组织新恶意框架Ramsay,Ramsay 框架是疑似专门用于针对隔离 网络的恶意代码,主要通过感染正常软件进行传播,同时与常规恶意软件基于网络协议的C2 不同, Ramsay 框架采用的是自定义的文件传输控制指令,当扫描到被带入隔离网络的感染文件,则从文件 特定位置读取指令执行。 ----- 第二部分 地缘背景下的APT组织和活动 / 全球高级持续性威胁(APT)2020年中报告 12 ## 东南亚 ### Southeast Asia ----- 第二部分 地缘背景下的APT组织和活动 / 全球高级持续性威胁(APT)2020年中报告 13 海莲花组织是东南亚地区最为活跃的APT 组织。在上半年新冠肺炎疫情爆发期间,海莲花组织同时 利用了“新冠病毒疫情”和“禽流感疫情”的热点事件作为诱饵攻击我国政府和相关科研实验室机构。 ----- 第二部分 地缘背景下的APT组织和活动 / 全球高级持续性威胁(APT)2020年中报告 14 ## 南亚次大陆 ### South Asian subcontinent ----- 第二部分 地缘背景下的APT组织和活动 / 全球高级持续性威胁(APT)2020年中报告 15 在过去的 APT 威胁分析报告中,我们也多次提及南亚地区活跃的多个 APT 组织,包括摩诃草、蔓灵 花、肚脑虫等,并且这些 APT 组织过去无论在攻击目标上,还是在攻击工具特征上都存在一些关联性 和重叠。除了这些 APT 组织外,国内其他友商命名的“响尾蛇” APT 组织也活跃在南亚地区,奇安信 威胁情报中心在过去的跟踪中也找到了响尾蛇组织和摩诃草的一些强关联性证据,所以在内部将其 合并跟踪。 在2020 年上半年的 APT 攻击活动中,我们都有发现摩诃草、蔓灵花组织利用新冠疫情事件对国内目 标实施的 APT 攻击活动。在疫情爆发初期,摩诃草组织便利用“** 旅行信息收集申请表.xlsm”,“卫 生部指令.docx”等诱饵对我国进行攻击活动,并且该组织也是第一个被披露利用疫情进行攻击的 ----- 第二部分 地缘背景下的APT组织和活动 / 全球高级持续性威胁(APT)2020年中报告 16 同时与摩诃草存在重叠的响尾蛇APT 组织也开始利用“** 疫情处理方法”、“** 大学疫情期间网络课 程”等新冠相关诱饵信息开展了针对巴基斯坦的攻击活动: Policy Guidelines for Online Classes.pdf.lnk 解密,内存 加载 加载 rekeywiz.exe **EXE** **.NET** Duser.dll Policy Guidelines for Online Classes.pdf Stlnstall.dll **.NET** **TMP** **.NET** 随机名.tmp SystemAPP.dll C&C 释放 解密后 上传信息, 获取命令执行 下载执行 **HTA** **.NET** **HTA** |释放|Col2| |---|---| ||| http://www.auedu.km01s.net/images/E2BC769A/16914/116 62/84c7b244/3387c59 LinkZip.dll http://www.aue- rekeywiz.exe.config du.km01s.net/c- 解决.NET兼容问题 gi/8e4d36866/16914/116 62/eeef4361/file.hta 南亚次大陆地区还活跃着另一个名为Transparent Tribe 的威胁组织,其通常又被命名为APT36、 ProjectM、Operation C-Major,从奇安信过去针对该组织活动的追溯来看,其成员可能活跃在南亚 次大陆地区。该组织不具备特别复杂的攻击形式和攻击工具,并且从过去的活动来看,其同时实施以 网络间谍为目的的 APT 活动和牟利为目的的网络犯罪活动。 奇安信威胁情报中心在上半年也监测到该组织构造了一个与南亚某国电子信息处高度相似的域名 hxxp://email.gov.in.maildrive.email/ 进行恶意样本下发。获取到的样本为宏利用文档,并通过文 档内容诱使受害者启用宏,最终展示新冠病毒相关信息。 其最终释放的木马为该组织 独有的远控木马Crimson RAT。具有远程Shell、上传、 下载文件、获取进程信息、结 束指定进程等多种远控功能。 ----- 第二部分 地缘背景下的APT组织和活动 / 全球高级持续性威胁(APT)2020年中报告 17 ## 东欧 ### Eastern Europe ----- 第二部分 地缘背景下的APT组织和活动 / 全球高级持续性威胁(APT)2020年中报告 18 从公开披露来看,东欧地区的APT 组织在上半年的攻击活动并没有出现显著变化,像 APT28、Turla、 Gamaredon group 和Energetic Bear 组织都有部分活动,其中包括: ----- 第二部分 地缘背景下的APT组织和活动 / 全球高级持续性威胁(APT)2020年中报告 19 ## 中东 ### Middle East ----- 第二部分 地缘背景下的APT组织和活动 / 全球高级持续性威胁(APT)2020年中报告 20 从2020 年伊始,鉴于中东地区发生的政治军事冲突事件,国外安全厂商纷纷发布中东地区APT 组织 的历史总结报告,并预警未来可能发生的 APT 攻击活动。但从上半年的披露来看,中东地区APT 组 织并未因此事件而引发针对美国政府实施大规模的网络攻击反击行为。 不过国外安全厂商也披露了中东地区APT 组织的一些攻击武器的变化和攻击活动,例如 : APT34 使用的新的基于 PowerShell 的攻击程序PowDesk,其用于针对目标是运行 LANDesk Management Agent 的主机; APT34 针对美国公司Westat 的攻击活动,并使用了更新的工具; APT34 可能入侵了属于黎巴嫩政府实体的Microsoft Exchange Server,并更新了Karkoff 载荷; 国外安全厂商披露APT33 联合Parisite 组织利用Password-Spraying 技术攻击美国电力 公司,而Parisite 组织曾与攻击巴林石油公司事件有关; APT33 至少从2019 年11 月下旬至1 月5 日期间针对欧洲能源部门的攻击活动,并且被安 全厂商发现与欧洲能源部门组织的邮件服务器通信的PupyRAT 命令和控制(C2)服务器; APT33 开发的新的.Net 载荷程序,国外安全厂商将其命名为POWERBAND,其是之前 POWERTON 工具的变种; 在2019 年中至2020 年1 月中之间,MuddyWater 进行的一系列鱼叉运动,并针对土耳其, 约旦,伊拉克的政府组织,以及格鲁吉亚和阿塞拜疆的全球政府间组织和未知实体; 安全研究人员在 RSA 大会上披露 MuddyWater 组织使用鱼叉邮件分发ForeLord,并实施了 在2019 年中期至2020 年1 月中旬的APT 活动,其中ForeLord 是一个窃取凭据的工具; Chafer APT 组织使用公开黑客工具针对科威特,沙特阿拉伯航空,政府部门的攻击活动; Greenbug 针对南亚电信行业的攻击活动。 从上述的攻击活动来看,中东地区具有政府背景的APT 组织在攻击动机和目标选择上还是存在一些 划分。APT34 和 MuddyWater 主要针对政府相关实体实施 APT 攻击,APT33 更倾向针对能源、电力 行业等目标。 从战术技术上来看,鱼叉攻击是其主要的攻击入口,在攻击工具上更倾向于使用 PowerShell 和.Net 开发的程序,而另一个Charming Kitten 组织则更偏好于利用钓鱼网站实施攻击。 ----- 全球高级持续性威胁(APT)2020年中报告 21 #### 总 结 从2020 年上半年来看,尽管新冠疫情在全球呈现爆发趋势,但是 APT 组织的攻击活动并没有停止。 从公开披露的信息来看,APT 攻击的入口不再只重点围绕鱼叉邮件攻击和定向的凭据钓鱼,利用 0day 或者Nday 漏洞实施攻击显得更加高效,包括利用一些远程服务、VPN,或者针对目标网络基础 设施的漏洞,包括Microsoft Exchange,Citrix 相关产品等。 结合疫情下的远程办公的趋势,这种改变,可能会给 APT 组织未来采用的攻击入口和战术方式带来 一些变化。从防护角度上来看,防御 APT 攻击不仅需要做好人员安全意识教育,邮件和终端安全检测 等防御手段外,还需要考虑到远程接入和关键网络基础设施的安全防护和监测能力。 2020 年下半年,针对我国的APT 攻击频次也许会减少,但是精度会提升一个量级,这从各国国家级 APT 组织网络武器能力的提升,以及0day 武器的运用情况可见一斑。因此针对APT 攻击的防御更 需要我们开展全面的体系化网络安全建设,一起构筑对抗高级持续性威胁的网络安全防线。 ----- 附录 / 全球高级持续性威胁(APT)2020年中报告 22 ###### 附录1 奇安信威胁情报中心 奇安信威胁情报中心是北京奇安信科技有限公司(奇安信集团)旗下的威胁情报整合专业机构。该中 心以业界领先的安全大数据资源为基础,基于奇安信长期积累的核心安全技术,依托亚太地区顶级的 安全人才团队,通过强大的大数据能力,实现全网威胁情报的即时、全面、深入的整合与分析,为企业 和机构提供安全管理与防护的网络威胁预警与情报。 奇安信威胁情报中心对外服务平台网址为https://ti.qianxin.com/。服务平台以海量多维度网络空 间安全数据为基础,为安全分析人员及各类企业用户提供基础数据的查询,攻击线索拓展,事件背景 研判,攻击组织解析,研究报告下载等多种维度的威胁情报数据与威胁情报服务。 奇安信威胁情报中心对外服务平台 微信公众号 奇安信威胁情报中心 微信公众号 奇安信病毒响应中心 ----- 附录 / 全球高级持续性威胁(APT)2020年中报告 23 ###### 附录2 红雨滴团队(RedDrip Team) 奇安信旗下的高级威胁研究团队红雨滴(天眼实验室),成立于2015年,持续运营奇安信威胁情报中心 至今,专注于APT攻击类高级威胁的研究,是国内首个发布并命名“海莲花”(APT-C-00,OceanLo tus)APT攻击团伙的安全研究团队,也是当前奇安信威胁情报中心的主力威胁分析技术支持团队。 目前,红雨滴团队拥有数十人的专业分析师和相应的数据运营和平台开发人员,覆盖威胁情报运营的 各个环节:公开情报收集、自有数据处理、恶意代码分析、网络流量解析、线索发现挖掘拓展、追踪溯 源,实现安全事件分析的全流程运营。团队对外输出机读威胁情报数据支持奇安信自有和第三方的检 测类安全产品,实现高效的威胁发现、损失评估及处置建议提供,同时也为公众和监管方输出事件和 团伙层面的全面高级威胁分析报告。 依托全球领先的安全大数据能力、多维度多来源的安全数据和专业分析师的丰富经验,红雨滴团队自 2015年持续发现多个包括海莲花在内的APT团伙在中国境内的长期活动,并发布国内首个团伙层面 的APT事件揭露报告,开创了国内APT攻击类高级威胁体系化揭露的先河,已经成为国家级网络攻防 的焦点。 奇安信红雨滴团队 关注微信公众号 ----- 附录 / 全球高级持续性威胁(APT)2020年中报告 24 ###### 附录 参考链接 1. https://securelist.com/wildpressure-targets-industrial-in-the-middle-east/96360/ 2. https://ti.qianxin.com/blog/articles/who-is-the-next-silent-lamb-nuo-chong-lions-apt organization-revealed/ 3. https://www.clearskysec.com/fox-kitten/ 4. https://www.epicturla.com/blog/the-lost-nazar 5. https://www.us-cert.gov/northkorea 6. https://ti.qianxin.com/blog/articles/coronavirus-analysis-of-global-outbreak-related cyber-attacks/ -----