全球高级持续性威胁总体态势、典型手法及趋势研判

文 | 中国信息安全测评中心 桂畅旎

随着网络空间博弈发展和国际局势的加剧，组织性复杂、计划性高效和针对性明确的网络攻击活动更趋常态化，高级持续性威胁（APT）攻击已成为网络空间突出风险源。APT 的政治化、军事化、武器化、组织化、隐匿化趋势日益明显，与政府部门进一步深度绑定，“雇佣兵”性质更为凸显，零日漏洞、供应链入侵等高水平渗透手段的利用呈现常态化的特征。在大国博弈的背景下，APT 攻防较量更趋复杂，针对APT 事件的调查与响应呈现强烈的政治化趋势，成为网络空间与现实地缘政治融汇交织新的风险点。

一、当前全球 APT 总体态势

当前，全球 APT 攻击数量再创新高，呈现出全域展开、多点迸发的特点，在攻击目标区域、目标机构、攻击主体上均呈现新变化。

（一）攻击数量逐年攀升，攻击目标逐渐泛化，攻击组织更趋多源

受地缘政治热点事件的影响，全球 APT 活动在近两年进入新一轮活跃期。一是攻击总量增多、烈度增强。根据国内多家安全厂商的统计显示，2022 年全球 APT 攻击总量高于 2021 年，不仅纯 APT 攻击类型增多，APT 与其他攻击形式相融合的混合攻击数量也在不断增长。攻击烈度不断增强，影响范围更广泛，甚至从原有的物理“破坏”拓展到“攻心”目的，干扰认知、影响民众心理的攻击活动增多。二是攻击目标区域拓展，热点区域成为攻击“高地”。俄乌冲突作为近年最典型的地缘政治事件，成为推动近年 APT 攻击走高的导火索，交战双方以及相关域外国家成为 APT 攻击的重点目标；中东、南亚、东北亚等热点区域所涉 APT 攻击“此消彼长”；随着非洲国家的地缘属性增强，针对非洲国家的攻击也开始出现在全球 APT 攻击版图中。三是攻击的目标机构更趋泛化。在所有的攻击目标中，政府和外交机构、国防承包商等“高政治”领域依然是重点目标，情报数据窃密猖獗；金融部门、博彩机构等经济组织逐渐成为攻击热门，索取经济利益的攻击活动更为频繁。在当前科技博弈激烈的背景下，针对技术部门的攻击也在增加，特别是芯片行业成为新的攻击领域。四是攻击组织更为多源。在 APT 攻击战场中，传统组织与新兴组织更迭交替，诸如“拉撒路”（Lazarus）、Kimsuky、“摩诃草”（Patchwork）、“透明部落”（Transparent Tribe）等传统老牌 APT 组织持续活跃，不断精进攻击手法，占据着 APT 整体格局的“基本盘”；“穆伦鲨”（MurenShark）、Polonium、Metador 等新兴组织不断涌现，在攻击活动中展现了较强的对抗能力，成为新的威胁行为体，加剧形势复杂。

（二）地区热点激化，APT 攻击与热点地缘政治事件同频共振

全球政治乱象纷呈，大国博弈趋于白热，APT 攻击与热点地缘政治事件同频共振。一是俄乌冲突激化致 APT 攻击全域展开。在时间上，APT 攻击贯穿冲突酝酿、爆发、相持各个阶段；在攻击目标上，APT 攻击从军事目标和关键基础设施到后来针对作战人员、情报人员以及重要官员攻击，导致重大信息泄露，网络战和认知战相互交织，网络攻击的“无差别化”越来越明显。在攻击主体上，除了来自俄乌两国所属的 APT 组织外，域外国家的 APT 组织将俄乌冲突视为检验进攻技术和网络武器的机会，开展对抗较量。微软、思科、ESET 等网络安全企业利用先进的遥测技术远程“勘探”战场，充当网络攻防“军师”。二是东北亚安全局势推动 APT 组织“高位运转”。“半岛争端”由来已久，朝韩两国的 APT 攻击渊源颇深，特别是韩国尹锡悦政府组阁后，对朝鲜采取了更强硬的军事威慑和制裁等举措，直接加剧了东北亚 APT 组织的对抗局势。2022 年，以“拉撒路”、Kimsuky、“黑店”（Darkhotel）等为代表的典型 APT 组织表现出高活跃度，这是对于该地区局势趋紧的直接反应，朝韩 APT 组织之间的对抗性日益凸显，呈现出“分庭抗礼”的态势。三是印巴冲突刺激 APT 组织之间的“缠斗”。2022年，美国转向“印太”，明确将印度作为“四边安全对话”和“印太经济框架”等机制的重要成员，并积极拉拢孟加拉国加入其“印太战略”圈，系列举动打破了地区的平衡，刺激巴基斯坦逐渐回归与印度对抗的传统政策。基于此，“响尾蛇”（SideWinder）、“蔓灵花”（Bitter）、“摩诃草”“透明部落”“金刚象”（VajraEleph）、“肚脑虫”（DoNot）等组织“闻风而动”，在网络空间“交织缠斗”。四是中东矛盾推动 APT 攻击军事化。错综复杂的政治局势使得中东地区一直都是 APT 攻击的高发区，诸如“污水”（MuddyWater）、Lyceum、“月光鼠”（Molerats）、“迷人小猫”（Charmer Kitten，又名 APT35、TA453）等组织直接参与军事战，加剧了地区冲突。

（三）疫情属性的 APT 攻击持续影响

虽然新冠疫情在全球基本结束，但许多 APT 组织仍在利用公众恐慌，开发各种恶意软件变种，形成了独具风格的“后疫情时代的 APT 攻击潮”。一是疫情属性的社会工程攻击模式逐渐成型。“疫情做饵”的网络攻击仍在肆虐，针对生命科学和医疗保健行业的攻击维持高位，攻击者意图利用疫情造成的高需求来获利。二是远程办公的普及助推攻击常态化。远程办公基础设施成为攻击者的主要突破口，身份攻击日益猖獗，企业级服务器软件成为重点对象，Exchange 邮件服务器的零日漏洞仍被多个 APT 组织利用。三是疫情刺激 APT 组织转向经济目标。在疫情带来的经济疲软背景下，相当一部分对经济利益诉求明显的 APT 组织活动更趋频繁，逐渐将金融机构、加密货币等具有较高经济价值的目标作为主要对象，“不仅寻求信息，还追求金钱”成为当前 APT 组织复杂性的表现。

二、主要 APT 组织典型手法分析

APT 攻击者不断改变策略，改进工具，开发新式攻击技术，积极在攻击流程、伪装手段以及攻击凭借上进行创新。

（一）传统攻击流程现“新招”

APT 攻击具有完整的生命周期，一般可总结为：侦察、入侵、持久化驻留、横向移动、渗出等阶段，不同阶段在近年来均呈现出新特点。一是在侦察阶段，泄露数据库成为新切入点。随着数据泄露事件的增多，APT 攻击组织通过清洗数据来确认攻击目标的侦察行为不断增加，APT 组织也在主动挖掘目标信息，包括主动购买商业化的威胁情报类数据，以获取可能的攻击入口。二是在入侵阶段，APT 攻击者巧用流量提高水坑攻击效率。为了提高渗透精准率，APT 攻击者开始借助推特、领英、Discord 等社交平台来筛选受害者并发动攻击。此外，为快速与目标建立信任关系，最大限度地提高钓鱼邮件的欺骗性，许多组织不断改进传统钓鱼邮件入侵的手段，巧用流量提高水坑攻击的效率。三是在执行阶段，反检测与绕过技术推陈出新，新型的木马大量涌现。为了确保攻击流程的成功实施，APT 攻击者在代码执行手法上不断创新和采用绕过技术，如，“拉撒路”组织使用 BYOVD 技术禁用系统的安全软件，并利用易受攻击的驱动程序内核模块来直接读取和写入内存区域。另外，随着新兴语言对攻防技术的支持日趋成熟，APT 组织开始使用新兴的开发语言或框架来构建木马程序，以获得强大的绕过能力与反检测能力。四是在横向移动阶段，CobaltStrike（CS）工具被逐步替代。一方面，内网的域控制器、OA 等敏感服务，始终是攻击者青睐的入侵目标；另一方面，2022 年爆出的远程代码执行（RCE）漏洞使后渗透框架 CS 工具变得不再可靠，各大 APT 组织开始探索该工具的替代品。五是在命令控制阶段，IoT 设备与公共内容平台成为重要跳板。在构建攻击流程时，APT 组织通常会构建一类用于转发木马控制指令的跳板设备，以避免攻击资产和控制人员被溯源。以“海莲花”为代表的具有较高流程构建能力的 APT 组织已开始利用 IoT 设备以及 YouTube、Google+和 WordPress 等在线服务平台。六是在渗出阶段，商业服务与网络代理被广泛使用。近年来，APT 组织越来越多地利用商业化服务或接口来存储渗出的数据，例如利用 Telegram API 的窃密工具，以及在远程服务器上搭建 VPN 程序，以避免在数据泄露过程中遭遇“不可能旅行”类检测。

（二）伪装手段盛行

区别于传统攻击者使用“猛击”和“强夺”的手法，成熟的 APT 组织在组件和流程设计上更为灵活和细致，并借助更多伪装手段与工具隐藏其行为痕迹、规避检测。一是设置假旗干扰溯源。一些 APT 组织充分利用对手组织使用的 IP 地址、服务运营商甚至主机名，使其难以被溯源。二是利用 Web 服务进行隐藏。攻击者通过 Web 服务托管混淆 C2 基础设施，防止 C2 基础设施被逆向分析发现。三是精准识别受害人身份。攻击者采用受害主机信息验证识别、IP 访问白名单、合法网站重定向等多种访问控制手段，精准判别目标用户身份，确保攻击武器投向真正目标用户。四是开展跨系统、跨平台攻击。随着网络泛化和跨域性趋势愈发凸显，APT 组织开始向跨系统和跨平台方向发展， 如 ScarCruft 针对 Windows 系统和 Android 移动设备展开了跨平台攻击。五是滥用合法凭证。攻击者可以滥用合法凭证来隐藏其活动、访问敏感信息或执行恶意操作。2022 年 IBM 研究显示，合法凭证滥用是导致数据泄露的最主要攻击初始向量之一，而且检测此类技巧导致的数据泄露事件往往需要较长时间。

（三）漏洞利用成为重要切入点

一是零日漏洞利用。一些攻击能力较高的 APT 组织通常会利用零日漏洞进行攻击，例如“海莲花”等组织具备挖掘和利用零日漏洞的能力。二是在野漏洞利用。近年来，已识别和公开披露的漏洞数量逐年增加，APT 组织越来越多地利用在野漏洞作为初始攻击媒介。历史漏洞和未打补丁的漏洞仍然是重要的利用目标。三是供应链漏洞利用。由于开源软件和组件的广泛应用，基于供应链漏洞的 APT 攻击越来越多，Spring4Shell漏洞仍然是网络安全事件的“策源地”。

三、我国面临的 APT 攻击形势

我国面临的 APT 攻击是全方位的，攻击源更为复杂和隐蔽，危害更为直接和严重，是我国当前面临的突出网络安全风险。

（一）攻击数量持续增加

一是境内受控 IP 数量增加。2022 年，我国大量 IP 与多个境外 APT 组织的 C2 服务器进行通信，攻击高峰出现在年中和年末两个时期，其中中 5 月和 6 月的攻击频率显著高于其他时期。尤其是 6 月份，境内疑似受控的 IP 数量甚至达到了 12 月的两倍。二是攻击组织的来源多样化。对我国进行网络攻击的活跃组织中，不仅包含在全球大范围实施攻击活动的 APT 组织，如“拉撒路”“方程式”、APT-C-40（源自美国国家安全局）；还有在近年攻击活动中专门针对我国的 APT 组织，如，“摩诃草”、TA575、“虎木槿”“蔓灵花”等。

（二）攻击手段日益复杂化

一是“专门定制”对我国网攻工具。各 APT 组织在长期针对我国网络攻击中逐渐“摸清”我国重要行业的薄弱点和风险点，定制相关策略、技术和程序（TTPs）。如“海莲花”在 2022 年 5 月针对我国产化系统的定向攻击中专门基于我国产化系统的特点对其攻击载荷进行了定制，特别研发了针对 MIPS 架构的木马程序。二是检测规避手法日益精进。部分 APT 组织为实现更深层次的控制和隐蔽，不断更新迭代武器库，以实现规避、绕过网络、主机等层面检测。例如，“摩诃草”在 2022 年的攻击活动中，使用窃取的签名对其恶意代码进行伪装，以降低在主机端暴露的风险。三是攻击凭借日益复杂隐蔽。攻击者利用零日漏洞、开源软件供应链等较为复杂隐蔽的手段渗透到我国目标系统中，这样的攻击事件日益增多。例如，Log4j 漏洞近两年来受到各类涉华 APT 组织的青睐，仅在 2022 年上半年，我国就遭受了超过 8 千万次利用 Log4j 漏洞的攻击。

（三）攻击目标呈现弥散特点

近年来，针对我国的 APT 攻击目标呈现出重点突出、不断扩散的特点。一是重点攻击政府、科研、国防等关键信息基础设施，旨在窃取敏感信息、进行物理破坏以影响系统正常运行。涉华 APT 组织在长期攻击活动中形成一定的行业倾向，如“海莲花”攻击行业集中于政府、科研、安全、教育、能源、通信等；“毒云藤”惯常攻击政府、教育、科研、国防；“蔓灵花”惯常攻击政府、军工；“摩耶象”集中于政府、教育等。二是政治中心和经济发达省份是主要攻击目标地区。2022 年，我国境内疑似连接过境外 APT 组织 C2 服务器的 IP 地址数量较多的前 10 个省份分别是北京、广东、上海、福建、安徽、江苏、浙江、陕西、辽宁、江西。可以看出，境外 APT 组织重点攻击的主要目标地区具有较高的政治、经济地位。

（四）美国对我国的网络攻击愈演愈烈

拜登政府上台以来，持续实施“前置防御”“前沿狩猎”等进攻性网络行动，瞄准目标国家开展数据窃取、后门部署、网络攻击等活动，其中 APT 是重要手段，并呈现出鲜明的特点：一是潜伏时间长。隶属于美国的 APT 组织技术复杂、溯源难度大，善于长远规划。2022 年公开披露的美国对我国的攻击案例中，均是潜伏多年的老练 APT 组织，如 APT-C-40 针对系列行业龙头企业开展长达十余年时间的攻击就是典型例证。二是“后门”利用多。美国囤有大量的网络漏洞和武器平台，在针对我国的行动中，前有“方程式”组织制造的顶级后门程序“电幕行动”（Bvp47）曝光，后有 NSA 特定入侵行动办公室（TAO）的漏洞攻击武器平台“酸狐狸”揭开神秘面纱，具有大量打击目标国家的“弹药”和“发射器”。三是攻击目标“精”。随着美国对我国的网络攻击国家化，美国在网络空间逐渐采取一种更为精进的攻击策略，即从传统基于全领域全平台的攻击逐渐转向特定重点目标，嵌入我国的重要供应链、关键基础设施以及重要技术领域。四是跳板部署广。盟友是美网络霸权的关键支柱，在高级复杂的网络攻击活动中，美国各级别的盟友在攻击链中占据关键节点，这不仅可掩盖发起网络攻击的真实网络协议地址，增加了溯源难度，还可将盟友纳入美网络攻击环，实施网络空间集体行动。

四、趋势研判

随着近年来传统 APT 组织的持续活跃和大量新兴 APT 组织的不断涌现，APT 作为网络空间重要力量持续塑造“网缘”政治，并呈现出以下趋势：

（一）APT 攻击与国家战略方向同频共振

APT组织俨然已成为实现国家战略目标的“先遣队”，是配合网络空间国家战略布局的重要力量。一是配合现实军事战争。俄乌冲突中，多个国家级 APT 组织在情报收集、辅助打点、动向观察等方面协助推进实体作战行动。此外，APT 组织与一些国家政府深度捆绑，充当政府的“雇佣兵”或隶属于政府的军事网络部门，可直接获得政府的情报信息和零日漏洞工具支持，成为实现国家利益的重要途径。二是上升为政治“筹码”。APT 攻击已引发国家直接外交回应以及威胁使用武力回击等行为，与现实国家行为联动趋势越来越明显。三是关基仍是重点目标。针对关键基础设施和重要信息系统的 APT 攻击持续增加，特别是针对重要民用基础设施的攻击将带来更为直接的物理破坏。

（二）APT 组织攻防较量更趋复杂

在长期地缘冲突中，APT 组织之间、APT 组织与安全企业之间的攻防较量更为复杂和激烈。一是敌对 APT 组织在攻击手段上朝对抗化发展。近年来，部分 APT 组织吸收融合其他组织尤其是敌对方组织的攻击策略，提升攻击效率以满足攻击需求。如，活动于南亚地区的 Sidecopy 组织主要是为对抗来自印度的“响尾蛇”组织而成立的，通过模仿对手 TTPs 增加溯源难度。二是新老组织在攻击目标和手段上交织融合。共享基础设施、恶意软件编码、武器库在 APT 组织中日益普遍，如，“蔓灵花”“摩诃草”“摩罗桫”三大印度 APT 组织之间互相共享代码、工具“同根同源”度高；“肚脑虫”在一些攻击活动中使用的工具特征和网络基础设施，与“蔓灵花”“摩诃草”存在重叠，不排除这些组织由更高层级的机构领导协调的可能性。三是网络安全企业逐渐成为攻防主体。近年来，网络安全企业开始从“幕后”走到“台前”，除配合政府实施 APT 的公开归因溯源外，还直接参与到 APT 的攻防对抗中。

（三）供应链成为 APT 攻击新目标

通过入侵软件供应商并污染上游软件代码的供应链攻击技术，具有隐蔽性高、影响面广、边界突破能力强、检测防御困难等优势，与 APT 攻击者的诉求高度吻合，因此越来越多的 APT 组织在谋求供应链攻击能力。一是持续提升软件供应链攻击能力。攻击软件供应链主要是利用该领域软件的受信性和规模性，通过较小的代价突破目标网络进而获取访问权限，成为获取情报和干扰对手的有力手段，相关组织包括“舒适熊”、Tallium、UNC2546、“拉撒路”等。微软表示，APT 威胁行为者比供应链中的组织本身更了解组织信任关系的情况。二是针对开源软件的攻击增加。目前，国内外现有大量的系统、软件都是基于开源架构，开源软件利用门槛低，影响范围广，可导致设备远程受控。近年来，APT 组织正是利用开源软件缺乏审查机制的缺陷，发掘针对 Web 应用、第三方软件库的劫持或投毒等攻击技术，“暗度陈仓”实现攻击目的。三是边界设备成为实施攻击。APT 组织通过控制第三方网络设备的边界属性，绕过攻击目标的防御策略，实现入侵和横向移动等操作，以极低的成本发动高隐匿性的网络攻击。

（四）针对新技术新应用的 APT 攻击持续增加

区块链、人工智能、云计算等新技术逐渐成为 APT 攻击目标。一是区块链攻击呈现生态化的特征。近几年，随着区块链技术的迅猛发展，区块链技术在数字货币、金融领域广泛应用，对交易所、钱包、矿池等区块链基础设施的 APT 攻击频率增加，主要涉及数字货币盗取、敏感数据泄露等行为。二是云基础设施正在成为 APT 新战场。云计算技术的迭代更新推动着云技术架构和应用模式不断演进，云平台服务商对接多个客户，APT 组织可“一石多鸟”入侵多个目标，一定程度上提升了攻击者的攻击效益，刺激 APT 组织关注并挖掘更多云环境漏洞。三是人工智能技术成为 APT 攻击新凭借。以 ChatGPT 为代表的人工智能新运用正在成为攻击者提高其有效性的利器，已发现 APT 组织利用 ChatGPT 开展社会工程攻击、生成恶意软件、创建虚假社交媒体资料或聊天机器人账户等。四是空间技术领域成为 APT 攻击新目标。随着空间技术的发展以及战略意义的凸显，APT 攻击者越来越多地将注意力转向对空间技术的操纵和干扰，卫星技术开发商、生产商和运营商成为 APT 组织攻击目标。如俄乌冲突中的 Viasat 攻击事件将在未来战争中趋于常态。

（五）APT 攻击“勒索化”趋势越来越明显

无论是 APT 攻击“勒索化”还是勒索攻击“APT 化”均是近年来的典型趋势。APT 组织使用复杂的手段攻击企业甚至关键基础设施，并植入勒索软件，在针对政府、医疗、交通、管道运输等关键基础设施的攻击中尤为凸显。一是传统 APT 组织利用勒索软件获取经济利益。随着勒索软件的升级以及勒索手法的不断演进，一些老牌 APT 组织开始尝试利用勒索软件攻击关键基础设施。在此策略下，攻击者往往通过漏洞利用、社会工程或各种其他手段获得对目标网络的非授权访问，随后投放勒索软件。二是加密货币成为 APT 重点目标。随着加密货币价格的飙升，以及非同质化代币（NFT）和去中心化金融（DeFi）业务的普及，加密货币成为 APT 组织的重点目标，其中 DeFi 平台的安全漏洞成为窃取加密货币的主要入口。三是 APT 攻击与勒索攻击实现模式融合。勒索组织与 APT 组织的界限越来越模糊，一些勒索组织综合利用鱼叉攻击、商品化与定制化恶意软件、远端控制工具、漏洞利用等。如，朝鲜勒索组织 DEV-0530 利用 H0lyGh0st 勒索软件来攻击全球中小型企业，手段与方式与 APT 组织已无差异。此外，一些 APT 组织逐渐采取勒索组织惯用的“入侵＋泄露”的行动模式，具体手法包括突破目标、窃取情报以及公开发布内部信息，以达到破坏目的。

（六）对 APT 事件的调查与响应出现强烈的政治化趋势

作为网络空间中能够反映国家意志的攻击形式，APT 攻击政治化倾向日益明显，针对 APT 的归因溯源、威慑响应以及规范限制等均成为大国博弈的热点内容。一是国家间 APT 归因证据渐趋模糊化。为服务于网络威慑的国家战略目的，美国近年来在归因领域逐渐采取一种模糊化的处理，在公布的归因技术报告中普遍隐藏关键样本分析，而多在语言文字、行为模式等外围证据上着墨，以扩大威慑之势，同时为调查方争取更多回旋余地。二是用“点名羞辱”曝光 APT 组织战技法并致失效。近年来，美西方国家频繁采用“点名羞辱”（Naming and Shaming）的策略，即曝光网络攻击者采用的 TTPs，对攻击方起到限制作用并警示潜在受害者；同时在政治和国际关系层面上，此类做法高调宣扬调查方的网络安全能力，更是对被调查方的强烈施压。三是针对 APT 组织实施“精准制裁”。美西方国家逐渐将网络归因的结果作为司法起诉和财政制裁的“呈堂证供”，以公开网络归因结果为开展后续起诉和制裁奠定基础。此外，相关制裁行为还会将个人作为直接目标，通过公开发布 APT 活动相关人士的详细信息并发布通缉令，推行“精准制裁”以实现威慑效果。

（本文刊登于《中国信息安全》杂志2023年第6期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。