APT组织分布的九大地区
APT组织主要集中于美洲、东欧、中东、中亚、印度洋、东南亚、北非、朝鲜半岛与东亚地区等。
美洲地区
东欧地区
中东地区
中亚地区
印度洋地区
东南亚地区
北非地区
朝鲜半岛
东亚地区
以下为低质量内容
全球APT组织简要分析
- 东欧地区
1.1. Carbanak
1.1.1. Carbanak(APT-C-11)
Carbanak(即Anunak)攻击组织,是一个跨国网络犯罪团伙。2013年起,该犯罪团伙总计向全球约30个国家和地区的100家银行、电子支付系统和其他金融机构发动了攻击,目前相关攻击活动还很活跃。
1.1.2. 归属地
1.1.3.
俄罗斯
1.1.4. 目标领域
外贸
金融
1.1.5. 攻击目标
全球
1.1.6. 攻击方式
鱼叉攻击
1.2. Turla
1.2.1. Turla(APT-C-29)
Turla组织的主要目标有外交、政治、私企,攻击目标遍布全球,其中以欧洲地区为主,国内也有中招用户。在攻击手法上是俄罗斯网军中技术实力很强的主力部队,曾经有过攻击卫星的历史。
1.2.2. 归属地
1.2.3.
俄罗斯
1.2.4. 目标领域
外交
金融
工业
1.2.5. 攻击目标
中国
俄罗斯
驻欧美国家外交机关
1.2.6. 攻击方式
水坑攻击
漏洞攻击
1.3. 沙虫
1.3.1. 沙虫(APT-C-13)
沙虫组织的主要目标领域有:政府、教育、能源机构和电信运营商,进一步主要针对欧美国家政府、北约,以及乌克兰政府展开间谍活动,其攻击在2018年呈上升趋势。该组织经常利用鱼叉式网络钓鱼方法。
1.3.2. 归属地
1.3.3.
俄罗斯
1.3.4. 目标领域
政府
教育
能源机构
电信运营商
1.3.5. 攻击目标
欧美国家
乌克兰
北约
1.3.6. 攻击方式
鱼叉攻击
1.4. 奇幻熊
1.4.1. 奇幻熊(APT-C-20)
APT28(APT-C-20),又称Pawn Storm、Sofacy、Sednit、Fancy Bear和Strontium。APT28组织被怀疑幕后和俄罗斯政府有关,该组织相关攻击时间最早可以追溯到2007年。其主要目标包括国防工业、军队、政府组织和媒体
1.4.2. 归属地
1.4.3.
俄罗斯
1.4.4. 目标领域
媒体
国防工业
政府
军事等重要机构
1.4.5. 攻击目标
美国
欧洲
乌克兰
1.4.6. 攻击方式
鱼叉攻击
水坑攻击
1.5. WellMess
1.5.1. WellMess(APT-C-42)
WellMess组织是一个一直未被业界认定的APT组织,多方面数据显示该组织在2017至2019年间的攻击活动开始频繁活跃,其中日本互联网应急响应中心于2018年曾报道过该组织的相关攻击活动,但并未将其归属为APT组织。 在2019年,360高级威胁研究院捕获发现了WellMess组织一系列的APT攻击活动,这一系列的攻击活动最早开始于2017年12月,一直持续到2019年12月。在对WellMess组织的攻击研判过程中,我们确定这是一个具备自身独特攻击特点和精密攻击技战术的APT组织,为其分配了APT-C-42的专属APT组织编号。
1.5.2. 归属地
俄罗斯
1.5.3. 目标领域
IT通信行业
1.5.4. 攻击方式
供应链攻击
1.6. Gamaredon
1.6.1. 未知
1.7. 卢甘斯克组织
1.7.1. 卢甘斯克组织(APT-C-46)
2019年初,国外安全厂商披露了一起疑似卢甘斯克背景的APT组织针对乌克兰政府的定向攻击活动,根据相关报告分析该组织的攻击活动至少可以追溯到2014年,曾大量通过网络钓鱼、水坑攻击等方式针对乌克兰政府机构进行攻击。
1.7.2. 归属地
1.7.3.
乌克兰
1.7.4. 目标领域
政府
1.7.5. 攻击目标
乌克兰
1.7.6. 攻击方式
间谍活动 - 中东地区
2.1. 双尾蝎
2.1.1. 双尾蝎(APT-C-23)
2016年1月起至今,双尾蝎组织对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台包括 Windows 与 Android,攻击范围主要为中东地区
2.1.2. 归属地
2.1.3.
中东地区
2.1.4. 目标领域
政府
IT
军事
教育
2.1.5. 攻击目标
巴勒斯坦
中国等驻外大使馆
2.1.6. 攻击方式
鱼叉攻击
水坑攻击
2.2. 美人鱼
2.2.1. 美人鱼(APT-C-07)
美人鱼组织(APT-C-07),来自于中东的境外APT组织,已持续活跃了9年。 主要针对政府机构进行网络间谍活动,以窃取敏感信息为目的,已经证实有针对丹麦外交部的攻击。
2.2.2. 归属地
2.2.3.
中东地区
2.2.4. 目标领域
政府
外交
2.2.5. 攻击目标
丹麦
2.2.6. 攻击方式
鱼叉攻击
2.3. 人面狮
2.3.1. 人面狮(APT-C-15)
APT-C-15是一个来自于中东地区的境外APT组织。 APT-C-15组织主要针对埃及,以色列等中东地区进行网络间谍活动,以窃取敏感信息为主。 活跃时间主要集中在2014年6月到2015年11月期间,相关攻击活动最早可以追溯到2011年12月。主要采用利用社交网络进行水坑攻击。
2.3.2. 归属地
2.3.3.
中东地区
2.3.4. 目标领域
政府
2.3.5. 攻击目标
埃及
以色列
2.3.6. 攻击方式
社工攻击
鱼叉攻击
水坑攻击
2.4. 黄金鼠
2.4.1. 黄金鼠(APT-C-27)
从2014年11月起至今,黄金鼠组织(APT-C-27)对叙利亚地区展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台从开始的Windows平台逐渐扩展至Android平台
2.4.2. 归属地
2.4.3.
中东地区
2.4.4. 目标领域
军事
政府
2.4.5. 攻击目标
叙利亚
2.4.6. 攻击方式
水坑攻击
2.5. 拍拍熊
2.5.1. 拍拍熊(APT-C-37)
拍拍熊组织(APT-C-37)针对极端组织“伊斯兰国”展开了有组织、有计划、针对性的长期不间断攻击,其攻击平台为Windows和Android。
2.5.2. 归属地
2.5.3.
中东地区
2.5.4. 目标领域
军事
政府
2.5.5. 攻击目标
ISIS
2.5.6. 攻击方式
水坑攻击
2.6. 军刀狮
2.6.1. 军刀狮(APT-C-38)
从2015年7月起至今,军刀狮组织(APT-C-38)在中东地区展开了有组织、有计划、针对性的不间断攻击,其攻击平台为Windows和Android。由于军刀狮组织的攻击目标有一个主要的特色目标是西亚中东某国的库尔德人,另Windows端RAT包含的PDB路径下出现多次的“Saber”,而亚洲狮为该中东国家的代表动物,结合该组织的一些其它特点以及360对 APT 组织的命名规则,我们将该组织命名为军刀狮(APT-C-38)。
2.6.2. 归属地
2.6.3.
中东地区
2.6.4. 目标领域
政府
2.6.5. 攻击目标
2.6.6.
中东地区
2.6.7. 攻击方式
社工攻击
鱼叉攻击
2.7. ArmaRat
2.7.1. ArmaRat(APT-C-33)
2016年7月,360发现一起针对伊朗Android手机用户长达两年之久的APT攻击活动。攻击者借助社交软件Telegram分享经过伪装的ArmaRat木马,入侵成功后攻击者可以完全控制用户手机,并对用户手机进行实时监控。由于该木马演变过程中C&C及代码结构均出现“arma”关键字,所以我们将该组织命名为“ArmaRat”。
2.7.2. 归属地
2.7.3.
中东地区
2.7.4. 目标领域
政府
2.7.5. 攻击目标
2.7.6.
伊朗
2.7.7. 攻击方式
社工攻击
2.8. DomesticKitten
2.8.1. DomesticKitten(APT-C-50)
Domestic Kitten组织(APT-C-50)最早被国外安全厂商披露,自2016年以来一直在进行广泛而有针对性的攻击,攻击目标包括伊朗内部持不同政见者和反对派力量,以及ISIS的拥护者和主要定居在伊朗西部的库尔德少数民族。值得注意的是,所有攻击目标都是伊朗公民。伊斯兰革命卫队(IRGC)、情报部、内政部等伊朗政府机构可能为该组织提供支持
2.8.2. 归属地
2.8.3.
伊朗
2.8.4. 目标领域
政府
2.8.5. 攻击目标
2.8.6.
伊朗
阿富汗
伊拉克
英国
2.8.7. 攻击方式
间谍活动
2.9. 蓝色魔眼
2.9.1. 蓝色魔眼(APT-C-41)
StrongPity
2.9.2. 归属地
2.9.3.
土耳其
2.9.4. 目标领域
基础设施
2.9.5. 攻击目标
2.9.6.
欧洲
意大利
土耳其
比利时
叙利亚
2.9.7. 攻击方式
水坑攻击
2.10. SandCat
2.10.1. 未知 - 印度洋地区
3.1. 摩诃草
3.1.1. 摩诃草(APT-C-09)
摩诃草组织(APT-C-09),又称HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork,是一个来自于南亚地区的境外APT组织,该组织已持续活跃了7年。摩诃草组织最早由Norman安全公司于2013年曝光,随后又有其他安全厂商持续追踪并披露该组织的最新活动。摩诃草组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。相关攻击活动最早可以追溯到2009年11月,至今还非常活跃。在针对中国地区的攻击中,该组织主要针对政府机构、科研教育领域进行攻击,其中以科研教育领域为主。
3.1.2. 归属地
3.1.3.
印度
3.1.4. 目标领域
外交军事
关键制造基础设施
政府金融等重要机构
3.1.5. 攻击目标
3.1.6.
中国及中国驻外大使馆
3.1.7. 攻击方式
社工攻击
鱼叉攻击
水坑攻击
3.2. 蔓灵花
3.2.1. 蔓灵花(APT-C-08)
蔓灵花组织利用鱼叉邮件以及系统漏洞等方式,主要攻击政府、电力和工业相关单位,以窃取敏感信息为主。国外样本最早出现在2013年11月,样本编译时间集中出现在2015年7月至2016年9月期间,2016年网络安全公司Forcepoint最早报告了这一组织,随后被多次发现,至今还非常活跃。
3.2.2. 归属地
3.2.3.
印度
3.2.4. 目标领域
工业
电力
政府
3.2.5. 攻击目标
3.2.6.
中国
巴基斯坦
3.2.7. 攻击方式
漏洞攻击
鱼叉攻击
3.3. 肚脑虫
3.3.1. 肚脑虫(APT-C-35)
肚脑虫组织(APT-C-35),是一个来自于印度的境外APT组织,该组织已持续活跃了3年。 肚脑虫组织主要针对巴基斯坦,南亚等国家地区进行网络间谍活动,以窃取敏感信息为主。 相关攻击活动最早可以追溯到2016年,至今还非常活跃。
3.3.2. 归属地
3.3.3.
印度
3.3.4. 目标领域
政府
3.3.5. 攻击目标
3.3.6.
巴基斯坦等南亚国家
3.3.7. 攻击方式
鱼叉攻击
水坑攻击
3.4. 飞鲨
3.4.1. 飞鲨(APT-C-17)
“飞鲨”行动相关攻击行动最早可以追溯到2013年1月,持续活跃到2014年3月,主要针对中国航空航天领域,目的是窃取目标用户敏感数据信息,近期暂无监控到相关攻击事件。
3.4.2. 归属地
3.4.3.
印度
3.4.4. 目标领域
基础设施
IT
教育
科研
航空航天
3.4.5. 攻击目标
3.4.6.
中国
3.4.7. 攻击方式
鱼叉攻击
3.5. 响尾蛇
3.5.1. 响尾蛇(T-APT-04)
“响尾蛇”APT组织又名T-APT-04,疑似来自印度,其最早活跃时间可追溯到2012年,主要针对巴基斯坦等南亚国家的军事目标进行定向攻击。
3.5.2. 归属地
3.5.3.
印度
3.5.4. 目标领域
政府
军事
3.5.5. 攻击目标
3.5.6.
巴基斯坦
3.6. APT_CNC
3.6.1. 未知 - 东南亚地区
4.1. 海莲花
4.1.1. 海莲花(APT-C-00)
海莲花(OceanLotus)APT团伙是一个高度组织化的、专业化的境外国家级黑客组织,其最早由360发现并披露。该组织至少自2012年4月起便针对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。
4.1.2. 归属地
4.1.3.
越南
4.1.4. 目标领域
政府
科研
4.1.5. 攻击目标
4.1.6.
中国
越南
4.1.7. 攻击方式
鱼叉攻击
水坑攻击
4.2. 潜行者
4.2.1. 潜行者(APT-C-30)
潜行者组织主要搜集东南亚国家政府机构、国防部门、情报机构等机构敏感信息,其中针对我国就进行了超十年左右的网络攻击。主要针对政府、通信等领域重点单位,攻击最早可以关联追溯到2009年,最早的样本编译时间为2008年,攻击活动一直持续至今。
4.2.2. 归属地
4.2.3.
东南亚
4.2.4. 目标领域
政府
外交
通讯
智库
4.2.5. 攻击目标
4.2.6.
中国及东南亚
4.2.7. 攻击方式
未知 - 朝鲜半岛
5.1. Lazarus
5.1.1. Lazarus(APT-C-26)
Lazarus组织是来自朝鲜的APT组织,该组织长期对韩国、美国、中国、印度等国家进行渗透攻击,此外还对全球的金融机构进行攻击,堪称全球金融机构的最大威胁。该组织最早的攻击活动可以追溯到2007年。
5.1.2. 归属地
5.1.3.
朝鲜半岛
5.1.4. 目标领域
工业科研
外交外贸
媒体金融
核设施
5.1.5. 攻击目标
5.1.6.
中国
韩国
美国
印度等国家
5.1.7. 攻击方式
鱼叉攻击
社工攻击
水坑攻击
5.2. ScarCruft
5.2.1. ScarCruft(APT-C-28)
APT-C-28组织,又名ScarCruft、APT37 (Reaper)、Group123,是一个来自于东北亚地区的境外APT组织,其相关攻击活动最早可追溯到2012年,且至今依然保持活跃状态。APT-C-28组织主要针对韩国等亚洲国家进行网络间谍活动,其中以窃取战略军事、政治、经济利益相关的情报和敏感数据为主。
5.2.2. 归属地
5.2.3.
朝鲜半岛
5.2.4. 目标领域
政府
媒体
5.2.5. 攻击目标
5.2.6.
俄罗斯
中国等周边国家
5.2.7. 攻击方式
社工攻击
鱼叉攻击
水坑攻击
5.3. 旺刺组织
5.3.1. 旺刺组织(APT-C-47) - 安全大脑检测到多起 ClickOnce 恶意程序的攻击活动,通过 360 高级威胁研究院的深入研判分析,发现这是一起来自半岛地区未被披露 APT 组织的攻击行动,该组织的攻击活动最早可以追溯到 2018 年。目前没有任何安全厂商公开披露该组织的攻击活动,360根据用ClickOnce 攻击技术的谐音,将其命名为“旺刺”组织。
5.3.2. 归属地
5.3.3.
朝鲜半岛
5.3.4. 目标领域
商贸机构
5.3.5. 攻击目标
5.3.6.
中国
朝鲜半岛
5.3.7. 攻击方式
间谍活动
5.4. Darkhotel
5.4.1. Darkhotel(APT-C-06)
Darkhotel(APT-C-06)组织是一个长期针对企业高管、国防工业、电子工业等重要机构实施网络间谍攻击活动的APT组织。2014年11月,卡巴斯基实验室的安全专家首次发现了Darkhotel APT组织,并声明该组织至少从2010年就已经开始活跃,目标基本锁定在韩国、中国、俄罗斯和日本。
5.4.2. 归属地
5.4.3.
韩国
5.4.4. 目标领域
军事
外贸外交
工业能源
科研等重要机构
5.4.5. 攻击目标
5.4.6.
中国
日本
俄罗斯
朝鲜半岛
5.4.7. 攻击方式
鱼叉攻击 - 美洲地区
6.1. 方程式
6.1.1. 方程式(APT-C-40)
APT-C-40(方程式)是史上最强网络犯罪组织。该团伙已活跃近20年,并且在攻击复杂性和攻击技巧方面超越了历史上所有的网络攻击组织,并被认为是著名的震网(Stuxnet)和火焰(Flame)病毒幕后的操纵者。
6.1.2. 归属地
6.1.3.
美国
6.1.4. 目标领域
关键制
工业科研
航空航天
政府军事等重要机构
6.1.5. 攻击目标
6.1.6.
中国
俄罗斯
伊朗
巴基斯坦
6.1.7. 攻击方式
水坑攻击
鱼叉攻击
6.2. 索伦之眼
6.2.1. 索伦之眼(APT-C-16)
索伦之眼组织(APT-C-16),又称Sauron、Strider。该组织主要针对中国、俄罗斯等多个国家进行网络间谍活动,其中以窃取敏感信息为主。相关攻击活动最早可以追溯到2010年,至今还非常活跃。该组织整个攻击过程中是高度隐蔽,且针对性极强,对特定目标采用定制的恶意程序或通信设施,不会重复使用相关攻击资源。相关恶意代码复杂度可以与方程式(Equation)媲美,其综合能力不弱于震网(Stuxnet)、火焰(Flame)等APT组织。
6.2.2. 归属地
6.2.3.
美国
6.2.4. 目标领域
军事
外交
政府等重要机构
6.2.5. 攻击目标
6.2.6.
中国
俄罗斯
比利时
瑞典
6.2.7. 攻击方式
漏洞攻击
6.3. CIA
6.3.1. CIA(APT-C-39)
美国中央情报局(英语:Central Intelligence Agency),总部位于美国弗吉尼亚州的兰利。与苏联国家安全委员会(克格勃)、英国军情六处和以色列摩萨德,并称为“世界四大情报机构”。 其主要任务是公开和秘密地收集和分析关于国外政府、公司、恐怖组织、个人、政治、文化、科技等方面的情报,协调其它国内情报机构的活动,并把这些情报报告到美国政府各个部门的工作。
6.3.2. 归属地
6.3.3.
美国
6.3.4. 目标领域
媒体通讯
工业科研
航空航天等重要机构
6.3.5. 攻击目标
6.3.6.
中国
6.3.7. 攻击方式
未知
6.4. 盲眼鹰
6.4.1. 盲眼鹰(APT-C-36)
从2018年4月起至今,一个疑似来自南美洲的APT组织盲眼鹰(APT-C-36)针对哥伦比亚政府机构和大型公司(金融、石油、制造等行业)等重要领域展开了有组织、有计划、针对性的长期不间断攻击。
6.4.2. 归属地
南美地区
6.5. Machete
6.5.1. Machete(Machete)
Machete
6.5.2. 归属地
南美地区 - 北非地区
7.1. 北非狐
7.1.1. 北非狐(APT-C-44)
360烽火实验室联合360高级威胁研究院发现一起针对阿拉伯语地区的长达三年的多次网络攻击活动。该攻击活动自2017年10月开始至今,攻击平台主要为Windows和Android。通过分析,我们发现此次攻击活动来自阿尔及利亚,主要利用钓鱼网站和第三方文件托管网站进行载荷投递,并且使用社交媒体进行传播,受害者主要分布在阿拉伯语地区,其中包含疑似具有军事背景的相关人员。根据此次攻击活动的伪装对象和攻击目标,我们认为该组织目的是为了获取情报先机。根据该组织所属国家的地理位置以及其他特点,我们将其命名为北非狐(APT-C-44)。
7.1.2. 归属地
阿尔及利亚 - 中亚地区
8.1. 毒针
8.1.1. 毒针(APT-C-31)
2018年11月25日,360高级威胁应对团队就在全球范围内第一时间发现了一起针对俄罗斯的APT攻击行动,攻击目标则指向俄罗斯总统办公室所属的医疗机构,此次攻击行动使用了Flash 0day漏洞cve-2018-15982和Hacking Team的RCS后门程序,结合被攻击目标医疗机构的职能特色,360将此次APT攻击命名为“毒针”行动。
8.1.2. 归属地
8.1.3.
哈萨克斯坦
8.1.4. 目标领域
政府
8.1.5. 攻击目标
8.1.6.
俄罗斯
8.1.7. 攻击方式
鱼叉攻击
8.2. 黄金雕
8.2.1. 黄金雕(APT-C-34)
黄金雕组织的活动主要影响中亚地区,大部分集中在哈萨克坦国境内,攻击目标涉及教育行业、政府机关人员、科研人员、媒体工作人员、部分商务工业、军方人员、宗教人员、政府异见人士和外交人员等。该组织使用社会工程学、物理接触、无线电监听等方式进行网络攻击,同时也采购了HackingTeam、NSO Group等网络军火商的武器,具备0day漏洞的高级入侵能力。360参照中亚地区擅长驯养猎鹰进行狩猎的习俗特性,将该组织命名为黄金雕(APT-C-34)
8.2.2. 归属地
哈萨克斯坦 - 东亚地区
9.1. 毒云藤
9.1.1. 毒云藤(APT-C-01)
从2007年开始至今,360追日团队发现毒云藤组织对中国国防、政府、科技、教育以及海事机构等重点单位和部门进行了长达数十年的网络间谍活动。该组织主要关注军工、中美关系、两岸关系和海洋相关领域。
9.1.2. 归属地
9.1.3.
中国台湾
9.1.4. 目标领域
政府
科研
国防
海事机构等重要机构
9.1.5. 攻击目标
9.1.6.
中国
9.1.7. 攻击方式
鱼叉攻击
水坑攻击
9.2. 蓝宝菇
9.2.1. 蓝宝菇(APT-C-12)
从2011年开始持续至今,高级攻击组织蓝宝菇(APT-C-12)对我国政府、军工、科研、金融等重点单位和部门进行了持续的网络间谍活动。该组织主要关注核工业和科研等相关信息。被攻击目标主要集中在中国大陆境内。
9.2.2. 归属地
9.2.3.
中国台湾
9.2.4. 目标领域
政府
航空航天、教育
军事
9.2.5. 攻击目标
9.2.6.
中国
9.2.7. 攻击方式
鱼叉攻击
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。