Loading [MathJax]/jax/output/CommonHTML/config.js
前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >隐秘 “网络幽灵”:全球活跃 APT 攻击组织揭秘

隐秘 “网络幽灵”:全球活跃 APT 攻击组织揭秘

原创
作者头像
星尘安全
发布于 2025-04-14 02:27:22
发布于 2025-04-14 02:27:22
1970
举报
文章被收录于专栏:黑客黑客网络安全
图片
图片

就在4月11日,特朗普政府高官称美方将对中方采取更多进攻性网络活动,可见当今,网络空间已成为国家间博弈的新战场,而高级持续性威胁(APT)组织犹如隐匿在暗处的 “幽灵部队”,是国家间彼此攻击的重要武器。这些组织通常具备强大的技术实力、充足的资源支持以及明确的战略目标,能够长期、隐蔽地对特定目标进行攻击,窃取敏感信息或破坏关键基础设施。

本文星尘安全就向大家简单介绍一下目前活跃在全球的APT组织都有哪些。

海莲花(OceanLotus/APT32)

背景追溯

疑似受越南政府支持,自 2012 年起便在网络暗潮中持续活跃。其攻击 “雷达” 主要锁定中国政府、科研院所、海事机构及航运企业,同时也对在越外资企业展开渗透行动。这些机构和企业往往涉及国家主权、科研机密与经济发展等关键领域,海莲花的恶意行径威胁着目标对象的信息安全与正常运营。

攻击策略

精通鱼叉攻击、水坑攻击及供应链渗透等复杂战术。常借助 Cobalt Strike 等专业工具,如同网络中的 “隐形窃贼”,悄无声息地窃取敏感数据。在 2024 年,更是以社保、南海法律等热门主题精心炮制钓鱼攻击,诱饵文档高度定制化,极具迷惑性。


摩诃草(Patchwork/APT - C - 09)

背景追溯

背后有南亚某国支持,活跃时长超过 15 年。长期将矛头对准中国、巴基斯坦的政府、军工及科研机构,其险恶用心在于窃取军事与工业情报,试图在区域地缘政治和军事博弈中获取不正当优势。

攻击策略

以鱼叉邮件作为主要 “攻击箭镞”,近年来还结合开源工具(如 Brute Ratel C4),展现出跨 WindowsAndroidMacOS 多平台的攻击能力。在 2024 年针对不丹的攻击样本中,首次启用红队框架,不断迭代升级的攻击手法使其威胁性与日俱增。


蔓灵花(APT - 40)

背景追溯

长期受境外反华势力暗中 “输血”,活跃历程超 10 年。其攻击靶心集中于中国的政府、金融、能源等关键领域,这些领域是国家经济社会稳定运行的 “主动脉”,蔓灵花妄图通过窃取核心数据,扰乱国家发展节奏。

攻击策略

深谙社会工程学之道,常扮作合法机构,以钓鱼邮件为 “敲门砖”。同时,紧盯系统零日漏洞,借助 Empire 等工具,像网络 “水蛭” 一样吸附在目标系统上,在 2023 年就对某大型金融机构发动多轮定向侵袭。


方程式(Equation Group)

背景追溯

被爆出与美国政府强关联,从上世纪 90 年代起便在全球网络空间 “兴风作浪”。其攻击视野覆盖全球,各国政府、科研机构、电信运营商等都是其觊觎的目标,试图搜刮高度敏感的情报信息,以维持其在国际博弈中的信息优势。

攻击策略

手握极为先进的漏洞利用 “秘籍”,坐拥庞大的零日漏洞武器库。通过植入式恶意软件,如 “FOXACID”,能像潜伏在黑暗中的 “忍者”,长期蛰伏在目标系统,悄然收集数据并偷运回 “老巢”。


奇幻熊(APT28)

背景追溯

带有俄罗斯军方背景,多年来在国际网络舞台上频繁亮相。主要针对北约国家的政府、军事、情报机构等发起攻势,其战略意图在于刺探军事战略、情报通信等关键情报,在国际军事政治博弈中争取主动。

攻击策略

善于挖掘零日漏洞,凭借精心策划的鱼叉式钓鱼邮件,将 X - Agent 木马等恶意程序如 “毒箭” 般精准植入目标系统,对系统进行深度 “解剖” 与控制。在 2016 年美国大选期间,对美国民主党全国委员会等机构的攻击,更是引发全球舆论哗然。


舒适熊(APT29)

背景追溯

同样与俄罗斯有着千丝万缕的联系,在网络江湖中活跃已久。主要瞄准各国政府外交部门、科研院所及关键基础设施运营单位,企图从外交机密、科研成果等 “富矿” 中挖掘有价值信息,服务于背后的战略意图。

攻击策略

技术底蕴深厚,凭借 SolarWinds 供应链攻击事件 “声名大噪”。擅长运用高级隐匿术,将恶意代码像 “隐身刺客” 般藏于合法软件更新中,实现长期潜伏和数据 “大挪移”。


Lazarus Group

背景追溯

被认为与朝鲜存在关联,自 2009 年起在网络世界崭露头角。主要将金融机构、加密货币平台等视为 “提款机”,以获取经济利益为重要驱动力,同时也对娱乐公司等发起攻击,展现出其攻击目标的多元性。

攻击策略

精通各类攻击 “秘籍”,能研发定制化恶意软件,如针对金融机构的 Shamoon 恶意软件。2014 年对索尼影业的攻击,以及 2022 年针对 Axie Infinity 游戏平台的巨额虚拟资产盗窃案,都彰显了其在网络犯罪领域的 “大胆与专业”。


迷人猫(Charming Kitten)

背景追溯

与伊朗有着紧密关联,近年来在网络攻击领域动作频频。主要将中东地区及西方国家的政府官员、记者、人权活动家等作为 “狩猎目标”,试图从这些群体中获取敏感信息,以服务于背后的政治或战略意图。

攻击策略

极度依赖社会工程学,常化身记者、活动组织者等身份,用精心编织的钓鱼邮件为 “诱饵”,诱导目标点击恶意链接或附件,进而像 “信息小偷” 一样植入键盘记录器等恶意程序,窃取用户账号密码等关键信息。


海苔(APT - C - 36)

背景追溯

疑似受南亚某国支持,在网络黑幕中活跃多年。主要将周边国家的政府、能源、水利等关键领域机构列为攻击对象,妄图从这些关乎国家生存发展的关键节点获取战略资源和关键基础设施情报。

攻击策略

主要以鱼叉式钓鱼攻击为 “先锋”,搭配开源的渗透测试工具,如 Metasploit。通过精准 “垂钓” 目标机构员工,逐步渗透进内部网络,像 “数据蛀虫” 一样蚕食敏感数据。


黑暗 Hydrus(APT - 35)

背景追溯

与中东地区某国相关联,在网络暗战中活跃已久。主要针对以色列、美国等国家的政府、军事和情报机构,开展情报窃取与破坏行动,试图在地区政治军事格局中施加影响。

攻击策略

擅长打造定制化恶意软件,借助网络钓鱼、水坑攻击等 “常规武器” 进行传播。还会利用公开的漏洞扫描工具进行目标 “侦察”,为后续的精准攻击绘制 “路线图”。


响尾蛇(APT - 33)

背景追溯

被认为与伊朗存在关联,在国际网络空间中频繁出没。主要将能源、航空航天等领域的企业和研究机构作为 “猎物”,企图盗取先进技术和商业机密,以增强背后势力在相关领域的竞争力。

攻击策略

运用多种攻击 “组合拳”,包括利用零日漏洞、发送针对性的鱼叉式钓鱼邮件,邮件中常暗藏伪装成合法文档的恶意软件 “陷阱”,一旦目标中招,就会被其远程控制,数据也会被悄然掳走。


Kimsuky(APT43)

背景追溯

该组织至少自 2012 年起就开始活跃,被认为是在朝鲜政府和军方指导下运作的攻击性网络团队之一。其活动频繁,长期针对特定目标展开网络间谍活动以及出于经济动机的攻击。

攻击策略

擅长运用社会工程学手段,通过创建虚假身份与目标建立联系获取信任。常发起鱼叉式网络钓鱼攻击,发送带有恶意软件的 PDF 文件、钓鱼链接等。还使用定制恶意软件及部分公共工具,甚至利用合法云挖矿服务清洗被盗加密货币。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
全球十大国家级APT组织排行榜发布
2022年9月,我国西北工业大学遭受境外APT组织网络攻击,引起全网的热议。据国家计算机病毒应急处理中心披露,西北工业大学遭网络攻击事件系美国国家安全局(NSA)特定入侵行动办公室(TAO)所为。
FB客服
2022/11/14
1.4K0
全球十大国家级APT组织排行榜发布
揭秘全球最危险的11大网络间谍组织
几十年前,当黑客入侵刚刚出现的时候,其大多是网络“发烧友”的“杰作”,他们痴迷于学习有关计算机和网络的一切知识。现如今,民族国家支持的威胁行为者正在开发越来越复杂的网络间谍工具,而网络犯罪分子则针对包含《财富》500强企业、医院、政府机构以及金融机构等在内的一切事物实施攻击,赚得盆满钵满。
FB客服
2021/07/02
1.6K0
揭秘APT攻击: 网络世界的高级间谍
“像伊朗核电站工控系统遭遇‘震网’病毒袭击,以及专门攻击我国海事部门的黑客组织‘海莲花’,两起事件本质上都是APT攻击。”
HACK学习
2019/08/07
9610
全球高级持续性威胁(APT) 2019 年上半年研究报告
高级可持续性攻击,又称APT攻击,通常由国家背景的相关攻击组织进行攻击的活动。APT攻击常用于国家间的网络攻击行动。主要通过向目标计算机投放特种木马(俗称特马),实施窃取国家机密信息、重要企业的商业信息、破坏网络基础设施等活动,具有强烈的政治、经济目的。
墙角睡大觉
2019/09/24
2K0
全球高级持续性威胁(APT) 2019 年上半年研究报告
APT攻击盘点及实战(上)
我相信很多人在发文章的时候,都写了关于APT攻击相关的文章!在这里我也发一篇该文章!哈!但是我比较喜欢实战,不太喜欢理论上的东西。相信大家也跟我一样喜欢实战,恰巧在读研的时候研究方向是APT攻击的检测和防御。在本文中会以模拟2011年10月末的Nitro攻击(APT攻击之一)做一次实战模拟。
糖果
2020/01/14
2.2K0
APT攻击盘点及实战(上)
注意!高级威胁组织APT-C-36正在活跃
近日,据黑莓安全研究与威胁情报团队称,名为Blind Eagle 的APT组织正在活跃,针对哥伦比亚各个关键行业发起持续性网络攻击,包括卫生、金融、执法、移民以及负责哥伦比亚和平谈判在内的机构都是该组织的重点攻击目标。黑莓安全研究与威胁情报团队还发现,该组织正在向厄瓜多尔、智利和西班牙地区扩张。 资料显示,Blind Eagle又被称为APT-C-36,以高活跃度和高危害性出名。2018年4月,研究人员捕获到了第一个针对哥伦比亚政府的定向攻击样本,并在此后近一年时间内,先后捕获了多起针对哥伦比亚政企机构的
FB客服
2023/03/29
9930
注意!高级威胁组织APT-C-36正在活跃
烈火烧不尽的“恶性毒草”—— 摩诃草APT组织的攻击活动
印度背景的APT组织代号为APT-C-09,又名摩诃草,白象,PatchWork, angOver,VICEROY TIGER,The Dropping Elephan。
用户1631416
2020/02/27
1.7K0
烈火烧不尽的“恶性毒草”—— 摩诃草APT组织的攻击活动
全球高级持续性威胁 APT 2021年度报告
本文是学习全球高级持续性威胁 APT 2021年度报告. 下载地址而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
用户10293610
2023/01/03
2K0
基于知识图谱的APT组织追踪治理
高级持续性威胁(APT)正日益成为针对政府和企业重要资产的不可忽视的网络空间重大威胁。由于APT攻击往往具有明确的攻击意图,并且其攻击手段具备极高的隐蔽性和潜伏性,传统的网络检测手段通常无法有效对其进行检测。近年来,APT攻击的检测和防御技术逐渐引起各国政府和网络安全研究者的关注。本文首先对发达国家APT相关研究进行了梳理,从战略、法规和具体的技术模型层面阐述了美国在网络空间战略和APT攻击检测及追踪方面的一些变化和取得的标志性成果;其次基于自身的研究,提出了一套结合知识图谱进行APT组织追踪的方案,并结合模拟的实际案例进行了方案的验证;最后提出了一些相关的对策建议。
绿盟科技研究通讯
2019/12/19
3K0
基于知识图谱的APT组织追踪治理
从短信链接到数据泄露,遍布全球的APT攻击如何影响到你?
随着大数据技术的发展,数据向多元、多源方向发展,且已成为国家基础性战略资源,正对全球生产、经济、社会和国家治理等活动产生重要影响。但各机构之间的数据孤岛问题突出,严重影响数据价值的释放。
安全小王子
2021/08/06
1.1K0
“白象”APT组织近期动态
“白象”又名“Patchwork”,“摩诃草”,疑似来自南亚某国,自2012年以来持续针对中国、巴基斯坦等国进行网络攻击,长期窃取目标国家的科研、军事资料。与其他组织不同的是,该组织非常擅长根据不同的攻击目标伪造不同版本的相关军事、政治信息,以进行下一步的攻击渗透。
FB客服
2018/07/30
1.5K0
“白象”APT组织近期动态
2017年中国网络安全报告
本报告涵盖恶意软件与恶意网址、移动安全、互联网安全、趋势展望等多个章节,从解各方面分析 2017 中国网络安全态势。 一、恶意软件与恶意网址 (一)恶意软件 1. 2017年病毒概述 (1)病毒疫情总体概述 2017年瑞星“云安全”系统共截获病毒样本总量5,003万个,病毒感染次数29.1亿次,病毒总体数量比2016年同期上涨15.62%。 报告期内,新增木马病毒占总体数量的51.83%,依然是第一大种类病毒。蠕虫病毒为第二大种类病毒,占总体数量的24.49%,第三大种类病毒为灰色软件病毒(垃圾软件、广告软
FB客服
2018/02/07
2.8K0
2017年中国网络安全报告
网络间谍依然健在:APT32对全球企业的威胁(海莲花)
现在被Fireeye命名为APT32(OceanLotus海莲花组织)的网络间谍行动,正在对横跨多个行业的私人企业和外国政府,异议人士和记者进行入侵。Fireeye评估APT32利用独特且功能全面的恶意软件套件与商业渗透工具相结合。开展符合对越南国家利益的有针对性的行动。 广告时间:APT32和Fireeye的社区响应 FireEye的Mandiant事件响应顾问对在越南有商业利益的几家公司进行入侵调查的过程中,发现了入侵活动,并且攻击者控制的基础设施指示了一个重要的入侵活动。2017年3月,为响应Fir
FB客服
2018/02/26
1.5K0
网络间谍依然健在:APT32对全球企业的威胁(海莲花)
SolarWinds事件背后的攻击者“卷土重来”,24个国家150多个组织被钓鱼
5月28日下午,微软威胁情报中心(MSTIC)发现,SolarWinds事件背后的攻击者正在进行一场针对全球政府机构的网络钓鱼运动。
FB客服
2021/07/02
5340
探寻APT的化学本质与破解之术
高级持续性威胁(Advanced Persistent Threat)简称APT,从无到有不过十年时间。而在去年年底,卡巴斯基在预测2016年安全发展趋势时表示:APT将死。 我们反观过去的三个多月,却发现APT攻击行为并未下降, BlackEnergy APT组织仍在通过Word文档进行针对乌克兰的APT攻击、Darkhotel APT组织强势回归的第一个目标便是中国电信......事实胜于雄辩,APT确实没有走远。 APT的诞生 回溯至2005年,西方一些计算机应急响应组织(曾)发布报告,提醒人们
FB客服
2018/02/07
1.2K0
探寻APT的化学本质与破解之术
俄罗斯APT28组织隐秘攻击Ubiquiti路由器,以逃避安全检测
Bleepingcomputer网站消息,近日,美国联邦调查局与国家安全局、美国网络司令部及国际合作伙伴联合发布警告称,俄罗斯军方黑客正通过被入侵的Ubiquiti EdgeRouters来逃避检测。
FB客服
2024/03/07
2590
俄罗斯APT28组织隐秘攻击Ubiquiti路由器,以逃避安全检测
明年更严峻,卡巴斯基发布ICS 2023年网络威胁预测
2022年网络安全事件频发,给工业基础设施所有者和运营商带来了诸多问题。然而,幸运的是,我们并未在整个威胁格局中看到任何突发的或灾难性的变化,换句话说,没有一个是难以处理的,尽管媒体为许多事件附上了耸人听闻的标题。 不过,卡巴斯基预测,未来一年的形势可能要复杂得多。在分析2022年的网络安全事件时,我们必须承认,我们已经迈入了一个新时代:工业企业和运营技术(OT)基础设施的威胁格局中最重大的变化,主要由地缘政治趋势和相关的宏观经济因素决定。 网络犯罪分子具有无国界属性;他们也会密切关注全球政治和经济趋势,因
FB客服
2023/03/29
2860
明年更严峻,卡巴斯基发布ICS 2023年网络威胁预测
ESET披露自从2011年开始活跃的新APT组织XDSpy
XDSpy是ESET研究人员发现至少自从2011年以来就一直活跃的APT组织。ESET最近又发现该组织针对白俄罗斯、俄罗斯、塞尔维亚和乌克兰的政府、军队和外交部。
FB客服
2020/10/27
6220
ESET披露自从2011年开始活跃的新APT组织XDSpy
微软发出警告,俄罗斯黑客正进行大范围的凭证窃取攻击
据微软披露,近日检测到由俄罗斯国家附属黑客组织 "午夜暴雪 "进行的凭证窃取攻击激增。
FB客服
2023/08/08
3300
微软发出警告,俄罗斯黑客正进行大范围的凭证窃取攻击
乌克兰CERT-UA警告,俄相关APT组织正攻击乌克兰国家机构
近日,乌克兰 CERT-UA 计算机应急响应小组发布了一份安全报告,提醒国内组织机构警惕俄罗斯相关的网络间谍组织Armageddon APT(又名Gamaredon、Primitive Bear、Armageddon、Winterflounder或Iron Tilden)发起的鱼叉式网络钓鱼攻击。这些网络钓鱼信息自“vadim_melnik88@i[”发起,其目的是用恶意软件感染目标系统。
FB客服
2022/04/12
7030
乌克兰CERT-UA警告,俄相关APT组织正攻击乌克兰国家机构
推荐阅读
相关推荐
全球十大国家级APT组织排行榜发布
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档