1、双子座实验室 年下半年全球主要 APT攻击活动报告2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告2021 年上半年全球主要 APT 攻击活动报告 2021 年上半年全球主要 APT

2、 攻击活动报告 2021 年上半年全球主要 APT 攻击活动报2021 年下半年全球主要 APT 攻击活动报告contents目录01 APT 组织下半年全球攻击活动概述 402 APT 组织下半年攻击数据披露 503 2021 年下半年重大 APT 攻击活动 804 总结 1005 2021 年下半年 APT 组织活动时间表 112021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年

3、全球主要 APT 攻击活动报告2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告42021 年下半年全球主要 APT 攻击活动报告APT 组织下半年全球攻击活动概述012021 年下半年天际友盟持续对 APT 威胁组织活动进行了追踪总结，共披露了 70 余个 APT 组织近 150 起攻击活动，结合全球安全研究机构及安全厂商对 APT 组织的分析，我们总结出 2021 年下半年 APT 组织活动的核心特点：从攻击者角度来说老牌 APT 组织如 Kimsuky 及 Donot 依然保持活跃，但较新组

4、织如SideCopy 和 UNC2452 等的攻击活动也很猛烈，一批新的 APT 组织如针对美国的 Tortilla 也开始崭露头角。从攻击活动的最终目的来看大约四分之一的攻击纯粹以获得经济收益为目标，主要针对银行，企业以及个人移动用户， 而一部分针对政府、 军工、 重点科研机构的攻击活动，主要目的为窃取机密文件和数据或进行其它破坏性活动。从攻击手段上看钓鱼攻击依然是大多数 APT 组织最常用的手段（包括鱼叉式钓鱼），同时利用供应链攻击成功的事件也逐渐增多，0day 及 Nday 高危漏洞也是攻击者乐于采用的方式，12 月出现的 log4j 严重漏洞已成为各类恶意软件争相利用的热门漏洞。从恶意

5、软件角度来看在攻击载荷下载阶段，传播的木马后门、勒索软件、挖矿软件仍然占据主流的恶意软件的前三。勒索软件是 2021 年造成全球大规模数据泄露的元凶之一，双重勒索方式普遍流行，如不支付赎金数据随时存在被泄露的风险。而银行木马的活动也很猖獗，如安卓银行木马 ERMAC 利用上百款仿冒 APP 在全球进行传播。从攻击目标来看中东地区及东亚、南亚地区的国家以及地缘冲突严重的地区，受到有组织的 APT 团伙的攻击较多。而从攻击的行业来看，政府、军事、教育、金融依然是攻击者最热衷的行业，但其它行业的攻击也比较活跃，如信息技术、医疗、能源、通信行业等的攻击占比逐渐提高。2021 年下半年全球主要 APT

6、攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告5我们对 2021 下半年活跃的 TOP10 APT 组织进行统计如下：2021 年下半年有 70 多家 APT 组织发起过攻击活动（主要统计知名组织及有影响力的攻击），而来自南亚的APT 组织 Donot 的攻击次数最多，成为下半年最为活跃的 APT 组织之一，这个组织主要针对巴基斯坦、孟加拉国等，快速应用各种手段及工具进行攻击。其在

7、2021 年下半年期间一直保持较高的活跃度。来自巴基斯坦的 SideCopy 由于其针对性的攻击而成为第二名。而具有朝鲜背景的 Kimsuky 组织针对韩国的攻击则利用了各种方式如新冠疫情、社交网站相关的钓鱼、微软和 Adobe Nday 漏洞等进行了多次攻击。APT 组织下半年攻击数据披露022.1 TOP10 APT 组织图表 1 2021 年下半年 TOP10 APT 组织2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全

8、球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告62021 年下半年全球主要 APT 攻击活动报告2021 年下半年 APT 组织攻击的目标国家 TOP10 统计如下：2.2 TOP10 攻击目标图表 2 2021 年下半年 TOP10 APT 组织攻击目标从统计数据可以看出，南亚、东亚和中东地区的国家成为 APT 组织最喜欢攻击的目标，从国家角度来说，印度、巴基斯坦、韩国占据了前三名，而中国和俄罗斯紧随其后。2021

9、 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告72021 年下半年 APT 组织攻击的目标国家 TOP10 统计如下：2021 年下半年 APT 组织 TOP10 攻击手段统计如下：从上图可以看出政府、军队、金

10、融依然为热门的攻击目标行业，但教育和信息技术方向的攻击也增长较快。2.3 TOP10 攻击行业2.3 TOP10 攻击行业图表 4 2021 年下半年 APT 组织常见攻击手段2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要

11、APT 攻击活动报告82021 年下半年全球主要 APT 攻击活动报告3.1 针对中国的 APT 攻击从上图可以看出，木马后门为 APT 组织最常利用的攻击手段，从我们统计的近 150 起事件中大约有85 起攻击事件使用了各种木马后门软件。而钓鱼攻击在初始阶段依然是最有效和简单的攻击手段，利用有针对性的鱼叉式钓鱼攻击的事件越来越多，精准的匹配目标进行攻击也极大提高攻击的成功率。从上图可以看出漏洞利用为 APT 组织常用的第三大攻击手段，下表列出了最常用的漏洞列表及其针对的系统或软件：图表 5 2021 年下半年 APT 组织常见漏洞利用2021 年下半年重大 APT 攻击活动03中国依然是 A

12、PT 组织攻击的热门目标之一，2021 年 7 月份，安全公司发现一个从 4 月开始的 APT 组织“幻鼠”，该组织利用 Telegram、Internet Archive 和 blogger 博客分发 Raccoon Stealer 窃取木马，针对国内的化学品生产相关的企业。该攻击行动主要通过钓鱼邮件进行传播，诱导受害者下载附件并执行解压后的恶意程序。攻击者使用多种手法进行反溯源和反查杀。2021 年 11 月，韩国 APT 组织 Darkhotel 针对中国的新攻击链被披露，此次攻击通过一个多层恶意文档进行初始传播，在执行时会检查当前环境中是否安装了中国厂商的安全软件，之后进行持久化操作。

13、Darkhotel 攻击范围涉及中国华北和沿海等地区，攻击目标为政府、教育机构、新闻媒体、大型国企、外贸企业等； 2021 年 12 月，APT-C-59 组织利用零日漏洞、私有云投毒等方式攻击中国机构。APT-C-59 在攻击行动中利用正常应用 vmnat.exe（Vmware 程序的组件）加载恶意程序，同时利用 0day 漏洞（如 CVE-2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 202

14、1 年下半年全球主要 APT 攻击活动报告93.2 地缘政治冲突引发的系列攻击活动3.3 勒索软件攻击事件2021-26411），目标单位私有云盘感染，诱饵文档等多种方式投递恶意负载。APT-C-59 组织的攻击目标地区是以东亚和东南亚国家为主，涉及政府、智库、媒体、医疗等多个行业。实际上 2021 年下半年多个组织都发起过针对中国的攻击活动，除了以上三个组织，还有 APT 组织“苦象”、朝鲜组织 TA406、 APT 组织 Sidewinder 等。这些组织针对中国的政府、军队、教育、科研、医疗、能源、媒体等行业进行针对性攻击，以达到搜集和窃取重要信息等目的。2021 年下半年，来自巴基斯坦

15、的 APT 组织 Transparent Tribe 及 SideCopy 对印度发起了猛烈的攻击。在 2021 年 7 月到 9 月期间，Transparent Tribe 大量攻击样本被安全公司捕获，也可能与印巴两国的政治冲突有关。Transparent Tribe 最早攻击活动可追溯至 2012 年，长期以来通过鱼叉式钓鱼、水坑攻击等方式针对周边国家和地区（特别是印度）的政治、军事目标进行定向攻击活动。该组织开发有自己的专属木马 CrimsonRAT，同时也大量使用商业 RAT 恶意软件如 NetwireRAT。SideCopy 被 曝 出 同 样 来 自 巴 基 斯 坦，SideCop

16、y 常 在 攻 击 活 动 中 投 递 自 制 和 商 业 RAT， 如CetaRAT、Allakore 和 njRAT。成功感染后往往会安装独立的插件，以达成特定的目的。安全人员称该组织很可能与 APT 组织 Transparent Tribe 存在一定关系。勒索软件毫无争议的成为 2021 年全球范围内最具威胁的网络安全隐患之一，勒索软件攻击事件频发，针对政府组织和商业公司，索要巨额赎金，通过双重勒索造成破坏性的影响。2021 年 5 月份知名的 DarkSide 勒索软件团伙发起的针对美国最大的燃油管道商 Colonial Pipeline 的攻击，迫使美国关闭其东部沿海的关键燃油网络。

17、2021 年下半年以来，也发生了多起针对政府组织和公司的勒索软件攻击。2021 年 8 月份 APT 组织 ALTDOS 对新加坡的部分机构发动了“双重勒索”攻击，试图获得赎金。ALTDOS 主要在南亚运营，目标为盈利企业。ALTDOS 通常要求赎金以比特币支付。如果受害者拒绝，ALTDOS 还可能发动 DDoS 攻击。10 月份 APT 组织 Agrius 利用其定制的勒索软件 Apostle 对以色列巴伊兰大学发起了勒索软件攻击。新版本的 Apostle 经过代码混淆、加密后被压缩为加载程序，被用来加载和运行 OrcusRAT 。研究人员认为 Agrius 可能为来自伊朗的威胁组织。202

18、1 年 12 月，威胁组织 TA575 开始使用节日和纳税主题的钓鱼邮件，这些活动的最终目的是引诱受害者下载 Dridex 银行木马以及安装勒索软件等次级有效载荷。TA575 的活动影响了许多行业，如美国的教育、制造业、地方政府、保险和金融业。2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告2021 年下半年全球主要 APT 攻击活动报告 2021

19、年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告102021 年下半年全球主要 APT 攻击活动报告总结04从 2021 下半年的 APT 组织活动我们可以看出，以经济利益为目的 APT 组织依然活跃，从统计数据看，大约四分之一的组织纯粹以经济利益为导向，主要针对银行和金融机构以及个人，可以预测在 2022 年，针对信用卡的盗窃活动依然会继续猖獗，对个人的攻击更多转向了移动端各种木马后门。而随着勒索软件即服务（RAAS）的流行，更多的组织可能会采用勒索软件进行攻击以提高成功率和扩大经济效益。同时我们看到 2021 年下半年，针对目标国家的政府、军事、科研

20、等机构发起攻击，以窃取机密文件为其重要目标的组织的攻击仍然很频繁，可以预测，只要世界各国的政治争端不平息，这些组织会采用更多先进的策略及工具进行攻击，其目标行业也会逐步扩大。我们看到朝鲜 APT 组织 Lazarus 下半年的活动开始针对加密货币行业以及安全研究人员，说明这些组织也在进一步扩展其业务范围。总之，在 2021 年 APT 组织的攻击活动造成了很多的攻击和破坏，在 2022 年这种趋势还将延续，我们需要警惕： 热门话题的钓鱼攻击依然是 APT 组织最常利用的手段，如关于新冠疫情的防疫及扩散相关的事件，极易成为攻击初始阶段的诱饵； 供应链攻击的破坏性已显现成果，越来越多的组织开始青睐

21、这种攻击； APT组织的武器库里各种RAT工具的迅速开发和迭代， 0day漏洞的快速利用， 完善的反检测机制等，都为组织的迅速发展提供了可能性； 随着 Apache log4j 后续漏洞的相继曝光，利用 log4j 系列漏洞的攻击会更加猛烈，相信成熟的 APT组织也会选择快速利用此漏洞发起攻击； 除了政府、军事、金融、医疗、教育等热门行业以外，APT 组织也会向其它方向如能源、基础设施、IOT 设备、远程办公、加密货币、云计算等倾斜。2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告2021 年下

22、半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告112021 年下半年 APT 组织活动时间表05时间APT 事件组织名称攻击行业2021 年 12 月Kimsuky 利用 PebbleDash 后门发起攻击Kimsuky政府2021 年 12 月疑似 Donot 近期针对孟加拉国进行钓鱼攻击Donot教育2021 年 12 月APT 组织 Darkhotel 针

23、对中国的新攻击链披露Darkhotel教育、政府2021 年 12 月APT-C-23 传播窃密木马 PyMICROPSIA 新变种APT-C-23教育、军事2021 年 12 月APT 攻击者利用 Zoho 最新零日漏洞发动攻击软件2021 年 12 月SideCopy 以印度国防参谋长坠机为诱饵再度发起攻击SideCopy政府、国防2021 年 12 月钓鱼攻击新趋势，利用RTF 模板注入Donot2021 年 12 月间谍组织 TropicTrooper 瞄准运输行业和政府机构TropicTrooper政府、交通2021 年 12 月MuddyWater 利用新后门 Aclip 攻击亚洲

24、航空公司MuddyWater航运2021 年 12 月伊朗攻击者瞄准中东及亚洲的电信行业MuddyWater运营商2021 年 12 月FIN13 组织潜伏墨西哥，进行大量恶意攻击活动FIN132021 年 12 月APT 攻击活动 SideCopy，针对印度国防军SideCopy国防2021 年 12 月InSideCopy 组织扩展其武器库，针对印度军事人员SideCopy新闻、军队、教育、政府2021 年 12 月TA575 使用节日主题诱饵发动新一波攻击TA575保险、教育、金融、政府、制造2021 年 12 月黑客组织 XEGroup 开展长达 8 年的信用卡盗窃活动XEGroup银

25、行2021 年 12 月疑似俄罗斯黑客活动入侵全球企业和政府机构UNC2452政府2021 年 12 月神秘组织 KAX17 掌握大量 Tor 节点KAX172021 年 12 月SideCopy 再次攻击南亚，新型诱饵层出不穷SideCopy政府、军事2021 年 12 月APT 组织利用 CVE-2021-44077 漏洞发起攻击金融、医疗2021 年 12 月WIRTE 针对中东地区的攻击活动分析WIRTE法律、金融、外交、政府2021 年 12 月APT35 利用 ProxyShell 漏洞发起勒索软件攻击APT35软件2021 年 12 月PROMETHIUM 伪造 NotePad+

26、 安装包进行水坑攻击PROMETHIUM2021 年 11 月APT-Q-12 针对贸易行业进行间谍活动APT-Q-12外贸2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告122021 年下半年全球主要

27、APT 攻击活动报告时间APT 事件组织名称攻击行业2021 年 11 月ScarCruft 针对脱北者和人权主义者开展监视活动APT37人权组织2021 年 11 月APT 组织利用新恶意软件针对生物制造行业生物技术2021 年 11 月APT 组织双尾蝎以巴勒斯坦选举热点信息为诱饵发起攻击APT-C-23教育、军事、政府2021 年 11 月APT 组织 Donot 分发新款恶意插件开展攻击活动Donot政府2021 年 11 月APT 组织 MuddyWater 武器库 POWERSTATS 剖析MuddyWater政府、军事2021 年 11 月Android 间谍软件持续更新，躲避手

28、法再升级APT-C-232021 年 11 月朝鲜国家级威胁组织 TA406 正开展多重恶意活动TA406教育、政府、媒体2021 年 11 月RedCurl 团伙回归，攻击手段升级RedCurl建筑、金融、咨询、零售、法律2021 年 11 月APT 组织利用 MicrosoftExchange 和 Fortinet 漏洞进行恶意活动政府2021 年 11 月伊朗组织 Siamesekitten 发起新一轮间谍活动Lyceum网络安全、物联网、软件和信息技术2021 年 11 月FIN7 标志性利用工具重新出现FIN7金融、酒店、餐饮2021 年 11 月疑似 SideCopy 组织针对印度

29、投放双平台 RATSideCopy政府2021 年 11 月Lazarus 组织再次发起攻击，意图针对安全研究人员Lazarus科研2021 年 11 月APT 组织 SideCopy 近期攻击事件分析SideCopy军事2021 年 11 月攻击者利用恶意博客向韩国知名目标散播恶意软件Kimsuky2021 年 11 月APT 组织 Lyceum 近期攻击披露，针对电信等行业Lyceum运营商、外交2021 年 11 月网络犯罪组织 Zebra2104 分析Zebra21042021 年 11 月Vikrant 攻击活动长期针对南亚地区APT-Q-42医疗、政府2021 年 11 月Patc

30、hwork 利用钓鱼文档传播 BADNEWS 木马新变种Patchwork新能源2021 年 11 月Donot 组织最新恶意域名资产分析Donot政府2021 年 11 月APT-C-59 利用零日漏洞、私有云投毒等方式攻击中国机构APT-C-59医疗、媒体、政府2021 年 10 月TA575 利用鱿鱼游戏主题进行网络钓鱼TA575媒体2021 年 10 月新威胁组织 TA2722 伪装成菲律宾政府，大规模传播木马TA2722物流、 服务业、 金融、 航运、 政府、制造、能源2021 年 10 月Evilnum 组织近期网络资产及钓鱼样本分析Evilnum金融2021 年 10 月Team

31、TNT 组织针对 Docker 的新型攻击活动分析TeamTNT软件和信息技术2021 年 10 月Lyceum 再次现身，指定全新攻击目标Lyceum通信、航天2021 年 10 月针对全球电信公司的黑客组织 LightBasin 分析UNC1945运营商、云厂商、设备供应商2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告13时间APT 事件组织名

32、称攻击行业2021 年 10 月TA551 使用红队工具 SLIVER 进行攻击活动TA5512021 年 10 月APT 组织 BITTER 近期针对军工行业的攻击活动分析BITTER军工、能源、财务2021 年 10 月Harvester 间谍组织使用新工具集瞄准南亚国家Harvester通信、IT 软件、政府2021 年 10 月APT 组织 OperationEICAR 针对金融行业的定向攻击活动APT-Q-28证券、金融2021 年 10 月APT35 近期攻击活动分析APT35非政府组织、新闻出版、外交机构、政府2021 年 10 月恶意活动 MirrorBlast 针对金融公司进

33、行网络攻击TA505金融2021 年 10 月西非人权保卫组织被印度间谍软件攻击Donot人权组织2021 年 10 月Kimsuky 组织利用新冠疫情为诱饵攻击韩国地区Kimsuky政府2021 年 10 月新版 Apostle 勒索软件在针对高等教育的攻击中出现Agrius教育2021 年 10 月APT 组织 Lazarus 多个活动集群的关联分析Lazarus2021 年 10 月网络间谍活动 GhostShell，威胁全球航空航天及电信行业MalKamak航空航天、运营商、云厂商2021 年 10 月新 APT 组织 ChamelGang 瞄准俄罗斯能源及航空组织ChamelGang

34、航空航天、能源2021 年 10 月APT41 近期攻击活动分析APT41通信、教育、新闻出版、旅游、医疗2021 年 9 月APT 组织 TransparentTribe 最新攻击分析TransparentTribe军事、外交、政府2021 年 9 月疑似 APT-C-23 近期针对中东地区的攻击活动分析APT-C-23军队2021 年 9 月APT 组织 Lazarus 近期针对区块链等行业的攻击活动分析Lazarus区块链2021 年 9 月威胁组织 Grayfly 使用新恶意软件 SidewalkAPT41通信、软件和信息技术、金融、媒体2021 年 9 月长期恶意活动“Harvest

35、 行动”分析Harvest军队、制造2021 年 9 月APT 组织持续改进工具技术瞄准印度官员TransparentTribe政府2021 年 9 月APT-C-36 不断改进 RATs 以针对南美地区APT-C-36金融、石油、制造2021 年 9 月APT 组织利用新漏洞 CVE-2021-40539 攻击多个行业物流、通信、软件和信息技术、金融、制造、交通2021 年 9 月APT 组织 Sidewinder 针对海军发动网络攻击SideWinder军队2021 年 9 月APT 组织 Turla 部署 TinyTurla 作为二次后门Turla政府2021 年 9 月TAG-28 利

36、用 Winnti 恶意软件攻击印度企业及政府机构TAG-28政府2021 年 9 月穿甲行动：攻击者使用商业 RAT 对印度进行针对性攻击TransparentTribe军队、政府2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主

37、要 APT 攻击活动报告142021 年下半年全球主要 APT 攻击活动报告时间APT 事件组织名称攻击行业2021 年 9 月新网络间谍组织 FamousSparrow 分析FamousSparrow酒店、政府2021 年 9 月威胁组织 Nobelium 的 FoggyWeb 后门分析UNC2452政府、咨询、采掘业、网络安全、互联网2021 年 9 月威胁组织 BlackTech 传播恶意软件 Gh0stTimesBlackTech医疗、金融、政府2021 年 8 月TA551 近期攻击活动及新域模式分析TA5512021 年 8 月研究人员发现 WellMess 活动中更多的基础设施A

38、PT29政府、能源、外交2021 年 8 月CNC（APT-C-48）组织最新攻击活动情况APT-C-482021 年 8 月APT31 使用新 dropper，针对蒙古、俄罗斯地区BRONZEVINEWOOD国防，政府2021 年 8 月APT 组织针对东南亚电信行业的攻击活动披露APT27运营商、云厂商2021 年 8 月APT 组织 ITG18 针对伊朗的攻击活动情况ITG18政府2021 年 8 月APT 组织 TransparentTribe 近期针对印度的钓鱼活动分析TransparentTribe政府2021 年 8 月东南亚关键基础设施组织成为间谍活动的目标通信、军队、能源20

39、21 年 8 月Patchwork 针对巴基斯坦的定向攻击情况分析APT-C-09航空航天、能源2021 年 8 月APT 组织 Gamaredon 近期攻击战术特征简析Gamaredon军队、政府2021 年 8 月APT 组织 Confucius 利用间谍软件作诱饵攻击巴基斯坦军方Confucius军队2021 年 8 月朝鲜 APT 组织 InkySquid 利用浏览器漏洞进行网络攻击APT37制造、航空航天、汽车、医疗2021 年 8 月Kimsuky 利用 Nday 漏洞进行网络钓鱼攻击Kimsuky国防、政府、能源2021 年 8 月用于针对俄罗斯的 Konni 恶意软件新变体分析

40、Konni2021 年 8 月朝鲜 APT 组织 InkySquid 部署 BLUELIGHT 和 RokRAT 的活动分析Volexity2021 年 8 月印度国防部遭未知攻击者针对性攻击军队2021 年 8 月APT 组织 SparklingGoblin 使用模块化后门 SideWalk 进行攻击活动APT17教育2021 年 8 月APT41 以印太国家为目标，使用新型加载器及后门APT41医疗、金融、软件和信息技术、旅游2021 年 8 月APT 组织 ALTDOS 在新加坡发动勒索软件攻击ALTDOS零售、金融、媒体、航运、房地产2021 年 7 月TransparentTribe

41、 利用印度军事主题诱饵传播 Crimson 木马TransparentTribe军队2021 年 7 月APT 组织 IndigoZebra 工具更新，继续攻击中亚IndigoZebra政府2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告15时间APT 事件组织名称攻击行业2021 年 7 月APT28 利用 Kubernetes 进行大规模暴力破解

42、攻击APT28政府、能源2021 年 7 月“苦象”组织上半年针对中国的攻击活动分析苦象外贸、军队、军工、能源2021 年 7 月疑似 Lazarus 组织新活动针对美国国防承包商Lazarus军队2021 年 7 月TA505 利用 GoLang 加密器分发矿工和 ServHelperTA5052021 年 7 月黑客组织 TAG-22 针对尼泊尔、菲律宾和中国台湾进行攻击TAG-22教育、运营商、云厂商、媒体、政府、终端厂商2021 年 7 月针对乌克兰政府的网络钓鱼攻击扩展到格鲁吉亚政府2021 年 7 月对政府组织的针对性攻击使用 NetwireRAT教育、政府2021 年 7 月Lu

43、minousMothAPT 针对缅甸地区的攻击活动LuminousMoth政府2021 年 7 月疑似 COBALTGYPSY 利用 CVE-2020-0688 漏洞的攻击活动分析COBALTGYPSY2021 年 7 月Lazarus 组织针对加密货币行业的社工攻击Lazarus区块链2021 年 7 月APT 组织 Gamaredon 向带有有效签名的 PE 中嵌入脚本Gamaredon军事、国防2021 年 7 月疑似南亚 APT 组织 Donot 的攻击活动分析APT-C-35政府2021 年 7 月APT 雇佣军组织 LOREC53 发动对格鲁吉亚政府的钓鱼文件攻击LOREC53政府

44、2021 年 7 月疑似 Kimsuky 针对韩国军工行业的攻击Kimsuky军工2021 年 7 月ANSSI 发布警告，声称 APT31 正在针对法国进行间谍活动BRONZEVINEWOOD物联网、软件信息技术2021 年 7 月StrongPity 组织利用水坑攻击分发 Android 恶意软件StrongPity政府2021 年 7 月APT-C-61 针对南亚地区的攻击活动情况APT-C-61军工、政府2021 年 7 月APT41 针对音视频通讯系统软件的攻击活动分析APT41软件和信息技术2021 年 7 月DoNot 组织伪装合法聊天应用，传播间谍软件变体APT-C-35政府2

45、021 年 7 月APT 组织 Kimsuky 利用 blogspot 开展钓鱼攻击活动Kimsuky媒体、政府2021 年 7 月艾叶豹组织针对巴基斯坦的监控活动情况Snowleopard2021 年 7 月TG1021 组织针对 IIS 服务器，利用定制工具集和 ASP.NET漏洞TG1021软件和信息技术、互联网2021 年 7 月“幻鼠”组织针对我国的窃密攻击活动情况幻鼠2021 年 7 月TA456 利用社交媒体，针对国防承包商进行钓鱼TA456军工、政府2021 年 7 月MeteorExpress 活动：利用 Wiper 针对伊朗火车系统的攻击分析交通2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告 2021 年下半年全球主要 APT 攻击活动报告