2016
中国高级持续性威胁（APT）
研究报告
作者：360追日团队、360天眼实验室
发布机构：360威胁情报中心
2017年2月13日
APT攻击的基本研究
年12月，360追日团队共监测到全球41个安全机构发布的各类APT
研究报告100份，涉及相关APT组织43个，被攻击目标国家38个

了各类APT研究报告50篇。俄罗斯目前主要的APT研究机构，虽然
仅有Kaspersky一家，但其研究质量，深度和总体水平显著高于绝大多
数其他研究机构。国内研究机构目前仍处于全球APT研究的第二梯队

首先是国内能力型厂商的缺乏，目前国内仅360、安天等少数机构能够
对APT进行深入与专业的研究；其次是美俄两国，特别是美国，非常
善于通过公开威胁事件及情报共享等方式，提高国内机构与企业的整体
安全防护水平，同时借此对其他国家施加政治压力

动攻击的境内外APT组织36个，最近三个月内仍处于活跃状态的APT
组织至少有13个。在过去的12个月中，这些APT组织发动的攻击行
动至少影响了境内超过万台电脑，攻击范围遍布国内31个省级行政区

占比最高，为40.0%；其次是企业占比25.0%；再次是政府及事业单位
占比18.3%；还有科研机构占比11.1%，其他机构或个人占比5.6%

针对特定领域的攻击与影响
针对工业系统的破坏，针对金融系统的犯罪，以及针对地缘政治的影响，
件，数万“灾民”不得不在严寒中煎熬；在2016年11月17日晚，即
伊斯兰教的大赦之夜，沙特阿拉伯又遭遇了Shamoon2.0的攻击，包括
沙特国家民航总局在内的6个重要机构的计算机系统遭到严重破坏

加拉国央行为代表的一系列发展中国家的央行或大型国有银行被盗事
件，受害者损失高达数千万美元。下半年又接连发生了以台湾第一银行
ATM机吐钞事件为代表的一系列ATM机攻击事件。而一个以合法软件
2016年中国高级持续性威胁（APT）研究报告
开发企业为伪装的，以不当盈利为目的的，长期从事敏感金融交易信息
窃取活动的境内APT组织黄金眼，也在2015年12月被截获

国大选产生了直接影响的DNC邮件泄露事件，其实质影响可能是世界
性的。此外，方程式组织工具的泄漏事件也显示，中国很可能是这个超
高级组织攻击的主要目标

APT攻击的组织与事件
算机程序、软件或设备给其他组织机构。全球比较著名的网络军火商包
括意大利的Hacking Team、英国的Gamma和以色列的NSO Group等

的针对iOS的APT0day攻击

的，与之前的方程式（Equation）组织相比也毫不逊色，其幕后组织的
综合能力不亚于震网（Stuxnet）、火焰（Flame）等知名APT组织。索
伦之眼组合使用了一系列复杂高难度的技术对目标实施了隐蔽性极强
的攻击，譬如：高度模块化的平台、加密虚拟文件系统、无文件实体等

一季度大量攻击了北约成员国和欧洲、亚洲、中东等地区国家的政府

2016年12月披露的的证据表明，该组织可能帮助亲俄武装分裂分子追
踪乌克兰部队的动向，曾使乌克兰炮兵部队损失一半以上的武器。此外，
2016年4月DNC邮件系统被入侵，2016年底被披露的德国政府官员、
国会议员等遭到的网络攻击也都被认为与该组织有关

诃草组织最早由Norman安全公司于2013年曝光。该组织主要针对中
国、巴基斯坦等亚洲地区国家进行网络间谍活动，其中以窃取敏感信息
为主。相关攻击活动最早可以追溯到2009年11月，至今还非常活跃

APT攻击的趋势特点与监测防御
要呈现以下四个趋势特点：网络空间成为大国博弈的新战场，针对基础
设施的破坏性攻击日益活跃，针对特定个人的移动端攻击显著增加，一
带一路与军民融合仍将是攻击焦点

面仍存在诸多盲区，同时，国内的能力型安全厂商仍然严重缺位。而数
据驱动的，协同联动的纵深防御体系将成为未来APT检测与防御的主
要方法

关键词：APT、工业系统、孟加拉央行、ATM、黄金眼、DNC邮件泄漏、索伦
之眼、APT28、 摩诃草
2016年中国高级持续性威胁（APT）研究报告
目录
第一章 全球APT研究前沿概览 . 1
一、 APT研究机构与研究报告 ........... 1
二、 APT攻击目标的全球研究 ........... 2
三、 主要APT组织的活跃时间 .......... 4
第二章 针对中国的APT攻击 ..... 5
一、 攻击中国的APT组织 ..... 5
二、 疑似APT攻击的目标 ..... 5
三、 APT攻击的时空分布 ...... 6
第三章 针对工业系统的破坏...... 8
一、 乌克兰圣诞大停电事件 .. 8
二、 沙特大赦之夜攻击事件10
第四章 针对金融系统的犯罪.... 12
一、 多国银行被盗事件 ....... 12
（一） 孟加拉国央行（Bangladesh Central Bank） ......... 12
（二） 越南先锋银行（Tien Phong Bank） .......... 13
（三） 厄瓜多尔银行（Banco del Austro） ......... 14
（四） 索纳莉银行（Sonali Bank） ......... 14
（五） 攻击事件的相似性分析 .... 14
二、 ATM机盗窃事件 ........... 16
（一） 台湾第一银行（First Bank） ........ 16
（二） Anunak组织（即Carbanak） ...... 16
（三） 泰国邮政储蓄银行 ........... 17
（四） 针对ATM机的各种攻击 .. 18
三、 黄金眼行动事件 ........... 19
第五章 针对地缘政治的影响.... 20
一、 DNC邮件泄露与美国大选 ........ 20
（一） 希拉里邮件门 ....... 20
（二） DNC邮件泄露过程 ........... 21
（三） DNC攻击者背景分析 ....... 22
。。。以上简介无排版格式，详细内容请下载查看