7月底，新加坡被爆史上最嚴重APT攻擊，包括總理李顯龍在內約150萬人的健康數據被泄露，APT攻擊的高威脅性再次引起廣泛關注。面對日益猖獗的APT攻擊，騰訊安全于近日對外發布《2018上半年高級持續性威脅(APT)研究報告》(以下簡稱《報告》)，公布騰訊御見威脅情報中心APT研究小組對全球范圍內APT組織進行長期深入跟蹤和分析的結果，深度披露漏洞攻擊、魚叉郵件、水坑攻擊三大主流攻擊手段。

　　“舊漏洞”仍是攻擊利器 APT組織使用漏洞技術占比達60%

　　APT攻擊通常以竊取核心資料、搜集情報為目的，對政府、企業等組織機構的數據安全造成嚴重威脅。伴隨漏洞挖掘技術的日益成熟以及各種漏洞POC的公開，漏洞的利用也變得更加簡單?！秷蟾妗凤@示，APT組織使用包含Nday和0day漏洞技術進行攻擊的占比達到60%。

　　值得注意的是，由于高危漏洞修復率偏低，許多APT組織仍在使用“舊漏洞”進行攻擊。例如白象(Hangover)、海蓮花、商貿信等APT組織仍在使用2017年11月就發布過相應補丁的CVE-2017-11882(公式編輯器漏洞)進行攻擊。

　　APT攻擊者還會通過利用程序漏洞隱藏惡意程序，在入侵成功后獲取攻擊目標計算機的控制權。據騰訊御見威脅情報中心監測發現，2018年上半年活躍的寄生獸(DarkHotel)APT組織喜歡把木馬隱藏在putty、openssl、zlib等開源的代碼中，從而實現躲避檢測的目的。該組織使用專有木馬程序，且只針對特定對象進行攻擊，因此極難被一般安全檢測程序發現。

　　魚叉攻擊屢試不爽 外貿企業成重點攻擊目標

　　作為APT組織最常用的攻擊渠道，魚叉攻擊是指精心設計攜帶病毒的誘餌文檔進行攻擊的形式。攻擊者通常會選取特定目標，詳細搜集攻擊目標的姓名、郵箱地址、社交媒體賬號等個人網絡信息，然后假冒公司、組織乃至政府的名義，發送給目標電腦。用戶一旦打開附件，就會導致電腦感染木馬。攻擊者還會以要求用戶點擊鏈接、輸入賬號密碼等形式竊取用戶隱私，甚至借機安裝惡意程序持續破壞目標計算機。

　　盡管釣魚攻擊已經是APT組織的“老套路”，但由于誘餌文檔十分“逼真”，仍有大量組織機構中招。2017年12月，騰訊安全御見情報中心曾預警針對外貿行業的“商貿信”病毒，其將Word文檔偽裝成采購清單等文件，在全球外貿行業內大量投“毒”，影響外貿工作者達150萬。今年6月，針對中國進出口企業的網絡攻擊再次抬頭。受攻擊的企業主要包括電子科技、外貿和遠洋運輸企業，攻擊者發送精心設計的與企業業務相關的誘餌郵件，附件是利用Office漏洞特別定制的攻擊文檔，存在漏洞的電腦上打開附件會立刻中毒。

　　國外各大政府機構也頻頻遭遇魚叉攻擊。今年2月，奇幻熊(APT28)組織利用英國信息服務提供商IHS Markit公司的郵箱賬號，向羅馬尼亞外交部發送釣魚郵件。此前，該組織還曾使用釣魚郵件及Carberp變種木馬對美國政府機構發起攻擊。

　　水坑攻擊“守株待兔” 常用網站成病毒重要傳播渠道

　　除了主動出擊，APT組織還會在目標用戶必經之地設置“水坑”以“守株待兔”。例如APT組織會通過事先觀察確定攻擊目標經常訪問的網站，入侵其中一個或多個后，植入惡意軟件。由于攻擊目標往往對常用網站較為信任，一時放松警惕而中招。

　　2018年6月，騰訊御見威脅情報中心捕捉到一個利用Office公式編輯器漏洞(編號CVE-2017-11882)的惡意攻擊文檔，其投遞的攻擊載荷均被命名為與主流播放器類似的一系列文件名，如QuickTime、PotPlayer、Gom Player等。經過騰訊御見威脅情報中心分析發現，該組織的攻擊目標為印度、巴基斯坦、韓國等國家，由于這些地區電影業發達，將木馬偽裝成視頻播放器程序，更容易蒙騙過關。

　　面對持續肆虐的APT攻擊威脅，騰訊安全專家提示，要做到“防御社會工程學欺騙”和“部署完善安全的保護措施”雙管齊下，加大普及網絡安全知識力度，最大限度減小APT攻擊傷害。推薦使用騰訊智慧安全御界高級威脅檢測系統等安全防護系統，可及時感知惡意流量，檢測釣魚網址和遠控服務器地址在企業網絡中的訪問情況，有效保護企業級網絡信息系統安全。