2021年度中国周边APT组织活动年鉴

全球瞩目的北京冬奥会即将开幕，2022年中国多项重大活动也正在积极筹备，在这一关键时间节点，中国成为了全球APT组织网络攻击的重要目标。

01  APT攻击趋势总述

近年来，网络空间安全威胁发生巨大的变化，具备国家背景的APT攻击也越来越多的被安全研究机构曝光。

国家背景的APT 攻击有着复杂度高、对抗性强、隐蔽性强等特点，通常有着窃取政府单位的国家机密、重要企业的科技信息、破坏网络基础设施等强烈的政治与经济目的。网络空间安全的格局虽不断变化，但隐藏在迷雾背后的，往往是国家间的博弈与较量。

随着国际政治和经济形势的变化以及我国国际地位不断崛起，我国也成为了全球网络攻击的主要受害国之一，境外各类政府背景APT黑客组织对事关我国的政治、经济、军事、科技情报虎视眈眈，针对我国重要单位及关键基础设施的APT攻击趋势越演越烈。

02 典型APT组织活动简述

为了掌握APT攻击在全球的活动情况、并快速高效地应对APT攻击，知道创宇 NDR团队一直以来非常重视对APT组织的研究，长期跟踪对中国发起 APT 攻击的活跃组织共计30个，其中包括OceanLotus（apt32）、Bitter（蔓灵花）、Patchwork（魔科草）、DarkHotel（黑店）等等。

2021年，知道创宇NDR团队将注意力集中在我国周边APT组织上，对来自于东亚、东南亚、东北亚、南亚、西亚、东欧、中东的APT组织进行长期深入的持续性跟踪，并主要对下图所示的21个活跃APT组织的攻击活动进行监控和追踪分析。

各APT攻击重点目标，主要包含几大类：

OceanLotus海莲花，东南亚“最知名刺客”

OceanLotus（海莲花）是一个长期针对中国及周边东南亚国家（地区）发起APT攻击的东南亚黑客组织，由于其多年来对我国党政机关、国防军工、科研院所等核心要害单位发起攻击，近两年攻击范围甚至延伸到了关键信息基础设施、能源、军民融合等各个领域，因此NDR团队重点关注OceanLotus的攻击活动。

根据NDR2021年监控到的OceanLotus发起的APT攻击事件解析发现，该组织2021年重点攻击目标为关基设施、政府单位，同时也会攻击一些防护较弱的目标作为攻击跳板使用。

攻击活动频繁的Oceanlotus组织在2021年逐步放弃了钓鱼邮件的攻击方式，开始使用漏洞攻击、供应链攻击等方式作为第一步攻击，成功后再通过植入远控木马等待发起下一步行为。这种攻击方式与之前相比有明显区别，其攻击技术含量明显提高。

通过分析OceanLotus在2021年进行的攻击活动，NDR团队发现其会重点对vSphere Web客户端、MikroTik、OA系统、D-LINK、三星路由器、F5防火墙等设备或系统进行渗透攻击，攻击成功后将其作为代理C&C服务器，2021年监测到涉及C&C和相关代理共计400+。

部分活跃C&C

Bitter蔓灵花，游荡于中巴的“幽灵魅影”

蔓灵花（T-APT-17、BITTER）APT组织是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织，该APT组织为目前活跃的针对中国境内目标进行攻击的境外APT组织之一。该组织主要针对政府、军工、能源等单位进行攻击以窃取敏感资料，具有强烈的政治背景。

Bitter组织多年来主要采用鱼叉钓鱼的方式，以对相关目标单位的个人直接发送嵌入了攻击诱饵的钓鱼邮件的形式发起攻击。此外，为了提高成功率，Bitter组织也会先对目标发送安全提示相关的钓鱼邮件，诱使被钓鱼用户修改邮件账户密码，从而获取用户的邮箱密码，而后再用被控制的邮箱继续对企业内的其他人发送嵌入攻击诱饵的钓鱼邮件。

NDR团队在2021年捕获Bitter组织相关钓鱼攻击200+次，说明Bitter在2021年“一如既往”以钓鱼攻击作为主要攻击方式，值得一提的是，NDR团队在年初发现，Bitter往往使用Windows内核漏洞以提高其攻击成功率。

与此同时，根据NDR团队今年监控到的APT事件及其他技术手段对该组织的行动监控后发现，Bitter组织在2021年依旧保持其常态化热点攻击的特点，其目标行业主要聚集在航空航天、军工、超大型企业、国家政务、部分高校。

注：以上为《2021年度中国周边APT组织活动年鉴》中关于OceanLotus和Bitter这两个典型APT组织的内容截取。想要了解更多内容，请扫描文末二维码获取”2021APT年鉴“。

03 2021年攻击监测结论摘要

通过对数十个APT组织在2021年进行全年监测、持续跟踪和研究分析，NDR安全分析团队得出如下结论：

• 技术水平较高的APT组织逐步采用更多高级攻击手段，如供应链攻击、多层跳板、IOT设备作为跳板等，使攻击监测难度升级；
• 越来越多的APT攻击使用通用攻击框架，使攻击事件定性难度升级；
• 传统社工钓鱼方式在各APT组织中均出现过，主要原因是社工钓鱼的攻击方式成本低且灵活性高；
• 2021年各组织其储备工具、攻击链的丰富性升级，可以有效躲避攻击检查、增加攻击潜伏时间。

NDR团队预测，2022年APT攻击会更多的用到如IOT设备做为多级跳板、供应链攻击、通用工具等方法来应对传统的监测手段。

04 知道创宇NDR流量监测系统介绍

知道创宇NDR流量监测系统是知道创宇同一线作战人员一起实战打造，针对活跃APT组织的流量检测分析产品，与创宇安全智脑、创宇云防御创宇盾联动，通过对流量进行智能分析，精准高效的发现敌人对我国关键基础设施的APT攻击。

网络空间已成为国家继陆、海、空、天四个疆域之后的第五疆域已是不争的事实，而“和平与发展”是任何领域内，全人类共同的目标和愿望。知道创宇在网络安全技术及APT发现、检测能力上的不懈努力，同样是希望可以在技术能力上缩小差距，让我们每个个体，包括企业和组织都有能力发现威胁、防御威胁，捍卫自身安全。每个个体的安全和自身抵御攻击的能力才是构建赛博空间安全稳定和平的基础。