盘点2016上半年十大APT神秘黑客组织

APT（Advanced Persistent Threat）—高级持续性威胁，它利用先进的攻击手段对特定目标进行长期持续性网络攻击，APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为。

在本届ISC2016中国互联网安全大会召开前夕，360威胁情报中心追日团队再出力作，正式对外公布2016上半年十大APT攻击组织，揭密那些曾经造成重大网络安全事件的神秘黑客组织。

No.1：DarkHotel(APT-C-06)

APT-C-06组织是境外APT组织，其主要目标除了中国，还有其他国家。主要目的是窃取敏感数据信息，DarkHotel的活动可以视为APT-C-06组织一系列攻击活动之一。在针对中国地区的攻击中，该组织主要针对政府、科研领域进行攻击，且非常专注于某特定领域，相关攻击行动最早可以追溯到2007年，至今还非常活跃。从我们掌握的证据来看该组织有可能是由境外政府支持的黑客团体或情报机构。

该组织多次利用0day漏洞发动攻击，进一步使用的恶意代码非常复杂，相关功能模块达到数十种，涉及恶意代码数量超过200个。该组织主要针对Windows系统进行攻击，近期还会对基于Android系统的移动设备进行攻击。另外该组织进行载荷投递的方式除了传统的鱼叉邮件和水坑式攻击等常见手法，还主要基于另一种特殊的攻击手法。

No.2：APT28(APT-C-20)

APT28(APT-C-20)，又称Pawn Storm、Sofacy、Sednit、Fancy Bear和Strontium。APT28组织被怀疑幕后和俄罗斯政府有关，该组织相关攻击时间最早可以追溯到2007年。其主要目标包括国防工业、军队、政府组织和媒体。期间使用了大量0day漏洞，相关恶意代码除了针对windows、Linux等PC操作系统，还会针对苹果IOS等移动设备操作系统。

早前也曾被怀疑与北大西洋公约组织网络攻击事件有关。APT28组织在2015年第一季度有大量的活动，用于攻击NATO成员国和欧洲、亚洲、中东政府。目前有许多安全厂商怀疑其与俄罗斯政府有关，而早前也曾被怀疑秘密调查MH17事件。从2016年开始该组织最新的目标瞄准了土耳其高级官员。

No.3：Lazarus(APT-C-26)

2016年2月25日，Lazarus黑客组织以及相关攻击行动由卡巴斯基实验室、AlienVault实验室和Novetta等安全企业协作分析并揭露。2013年针对韩国金融机构和媒体公司的DarkSeoul攻击行动和2014年针对索尼影视娱乐公司(Sony Pictures Entertainment，SPE)攻击的幕后组织都是Lazarus组织。

Lazarus组织历史活动相关重大事件节点

2016年2月孟加拉国央行被黑客攻击导致8100万美元被窃取的事件被曝光后，如越南先锋银行、厄瓜多尔银行等，针对银行SWIFT系统的其他网络攻击事件逐一被公开。在相关事件曝光后，我们立即对相关攻击事件的展示溯源分析，就越南先锋银行相关攻击样本，我们形成了技术报告：《SWIFT之殇——针对越南先锋银行的黑客攻击技术初探》。

在分析孟加拉国央行和越南先锋银行攻击事件期间，我们发现近期曝光的这4起针对银行的攻击事件并非孤立的，而很有可能是由一个组织或多个组织协同发动的不同攻击行动。另外通过对恶意代码同源性分析，我们可以确定本次针对孟加拉国央行和越南先锋银行的相关恶意代码与Lazarus组织有关联，但我们不确定幕后的攻击组织是Lazarus组织。

No.4：海莲花(APT-C-00)

海莲花(APT-C-00)组织是我们2015年5月发布的针对中国攻击的某著名境外APT组织，该组织主要针对中国政府、科研院所和海事机构等重要领域发起攻击。基于海量情报数据和研究分析，我们还原了APT-C-00组织的完整攻击行动，相关攻击行动最早可以追溯到2011年，期间不仅针对中国，同时还针对其他国家发起攻击。该组织大量使用水坑式攻击和鱼叉式钓鱼邮件攻击，攻击不限于Windows系统，还针对其他非Windows操作系统，相关攻击至今还非常活跃。