7 月底，新加坡被爆史上最严重 APT 攻击，包括总理李显龙在内约 150 万人的健康数据被泄露，APT 攻击的高威胁性再次引起广泛关注。面对日益猖獗的 APT 攻击，腾讯安全于近日对外发布《2018 上半年高级持续性威胁（APT）研究报告》（以下简称《报告》），公布腾讯御见威胁情报中心 APT 研究小组对全球范围内 APT 组织进行长期深入跟踪和分析的结果，深度披露漏洞攻击、鱼叉邮件、水坑攻击三大主流攻击手段。

" 旧漏洞 " 仍是攻击利器 APT 组织使用漏洞技术占比达 60%

APT 攻击通常以窃取核心资料、搜集情报为目的，对政府、企业等组织机构的数据安全造成严重威胁。伴随漏洞挖掘技术的日益成熟以及各种漏洞 POC 的公开，漏洞的利用也变得更加简单。《报告》显示，APT 组织使用包含 Nday 和 0day 漏洞技术进行攻击的占比达到 60%。

值得注意的是，由于高危漏洞修复率偏低，许多 APT 组织仍在使用 " 旧漏洞 " 进行攻击。例如白象（Hangover）、海莲花、商贸信等 APT 组织仍在使用 2017 年 11 月就发布过相应补丁的 CVE-2017-11882（公式编辑器漏洞）进行攻击。

APT 攻击者还会通过利用程序漏洞隐藏恶意程序，在入侵成功后获取攻击目标计算机的控制权。据腾讯御见威胁情报中心监测发现，2018 年上半年活跃的寄生兽（DarkHotel）APT 组织喜欢把木马隐藏在 putty、openssl、zlib 等开源的代码中，从而实现躲避检测的目的。该组织使用专有木马程序，且只针对特定对象进行攻击，因此极难被一般安全检测程序发现。

鱼叉攻击屡试不爽外贸企业成重点攻击目标

作为 APT 组织最常用的攻击渠道，鱼叉攻击是指精心设计携带病毒的诱饵文档进行攻击的形式。攻击者通常会选取特定目标，详细搜集攻击目标的姓名、邮箱地址、社交媒体账号等个人网络信息，然后假冒公司、组织乃至政府的名义，发送给目标电脑。用户一旦打开附件，就会导致电脑感染木马。攻击者还会以要求用户点击链接、输入账号密码等形式窃取用户隐私，甚至借机安装恶意程序持续破坏目标计算机。

尽管钓鱼攻击已经是 APT 组织的 " 老套路 "，但由于诱饵文档十分 " 逼真 "，仍有大量组织机构中招。2017 年 12 月，腾讯安全御见情报中心曾预警针对外贸行业的 " 商贸信 " 病毒，其将 Word 文档伪装成采购清单等文件，在全球外贸行业内大量投 " 毒 "，影响外贸工作者达 150 万。今年 6 月，针对中国进出口企业的网络攻击再次抬头。受攻击的企业主要包括电子科技、外贸和远洋运输企业，攻击者发送精心设计的与企业业务相关的诱饵邮件，附件是利用 Office 漏洞特别定制的攻击文档，存在漏洞的电脑上打开附件会立刻中毒。

国外各大政府机构也频频遭遇鱼叉攻击。今年 2 月，奇幻熊（APT28）组织利用英国信息服务提供商 IHS Markit 公司的邮箱账号，向罗马尼亚外交部发送钓鱼邮件。此前，该组织还曾使用钓鱼邮件及 Carberp 变种木马对美国政府机构发起攻击。

水坑攻击 " 守株待兔 " 常用网站成病毒重要传播渠道

除了主动出击，APT 组织还会在目标用户必经之地设置 " 水坑 " 以 " 守株待兔 "。例如 APT 组织会通过事先观察确定攻击目标经常访问的网站，入侵其中一个或多个后，植入恶意软件。由于攻击目标往往对常用网站较为信任，一时放松警惕而中招。

2018 年 6 月，腾讯御见威胁情报中心捕捉到一个利用 Office 公式编辑器漏洞（编号 CVE-2017-11882）的恶意攻击文档，其投递的攻击载荷均被命名为与主流播放器类似的一系列文件名，如 QuickTime、PotPlayer、Gom Player 等。经过腾讯御见威胁情报中心分析发现，该组织的攻击目标为印度、巴基斯坦、韩国等国家，由于这些地区电影业发达，将木马伪装成视频播放器程序，更容易蒙骗过关。

面对持续肆虐的 APT 攻击威胁，腾讯安全专家提示，要做到 " 防御社会工程学欺骗 " 和 " 部署完善安全的保护措施 " 双管齐下，加大普及网络安全知识力度，最大限度减小 APT 攻击伤害。推荐使用腾讯智慧安全御界高级威胁检测系统等安全防护系统，可及时感知恶意流量，检测钓鱼网址和远控服务器地址在企业网络中的访问情况，有效保护企业级网络信息系统安全。