一、 丰收行动

2016年7月，东巽科技2046Lab捕获到一例疑似木马的样本，该木马样本伪装成Word文档，实为包含CVE-2015-1641（Word类型混淆漏洞）漏洞利用的RTF格式文档，以邮件附件的形式发给攻击目标，发动鱼叉式攻击。将文件提交到多引擎杀毒平台，发现54款杀毒软件仅8款可以检出威胁，说明攻击者对木马做了大量的免杀处理。随后，2046Lab研究人员对样本进行了深入的人工分析，发现其C&C服务器依然存活，于是对其进行了跟踪溯源和样本同源分析，又发现了其他两处C&C服务器和更多样本。

从溯源和关联分析来看，种种迹象表明，该样本源于南亚某国隐匿组织的APT攻击，目标以巴基斯坦、中国等国家的科研院所、军事院校和外交官员为主，通过窃取文件的方式获取与军事相关情报。由于样本的通信密码含有“January14”关键词，这一天正好是南亚某国盛行的“丰收节”，故把该APT事件命名为“丰收行动”。

二、 摩诃草事件

摩诃草组织（APT-C-09），又称 HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork，是一个来自于南亚地区的境外 APT 组织，该组织已持续活跃了 7 年。摩诃草组织最早由 Norman 安全公司于 2013 年曝光，随后又有其他安全厂商持续追踪并披露该组织的最新活动，但该组织并未由于相关攻击行动曝光而停止对相关目标的攻击，相反从 2015年开始更加活跃。摩诃草组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动，其中以窃取敏感信息为主。相关攻击活动最早可以追溯到 2009 年 11 月，至今还非常活跃。在针对中国地区的攻击中，该组织主要针对政府机构、科研教育领域进行攻击，其中以科研教育领域为主。

本次攻击行动也安全厂商被称为“Patchwork”或“The Dropping Elephant”，从 2015 年初开始持续至今的攻击，其中从 2015 年 8 月开始至 2016 年 6 月攻击 非常频繁。本次行动的攻击目标主要是中国地区，期间使用了大量文档型漏洞，以 CVE-2014-4114 使用最多。我们主要通过本次攻击行动中 C&C 的 SOA 关联到第一次攻击行动 中相关 C&C 历史域名注册人，由于 SOA 本身可以被 DNS 管理者修改，所以存在被刻意修改 的可能性，但从我们的分析推断来看这种可能性很低，另外结合相关行动意图和幕后组织的 发起方，我们更倾向本次攻击行动属于摩诃草组织的最新一次攻击行动。在本报告后续章节 的研究分析，会将本次攻击行动作为摩诃草组织的第四次攻击行动进行描述。

三、 蔓灵花行动

美国网络安全公司Forcepoint 近期发布了一篇报告，该报告主要披露了巴基斯坦政府官员最近遭到了来源不明的网络间谍活动。该报告描述了攻击者使用了鱼叉邮件以及利用系统漏洞等方式，在受害者计算机中植入了定制的AndroRAT，意图窃取敏感信息和资料。Forcepoint研究人员认为该组织与BITTER相关，而且可能还不止发起了这一起攻击事件。BITTER攻击始于2013年11月，且多年来一直未被检测到，目前攻击者背景尚未明确。相关APP信息包括提供关于印度和巴基斯坦之间的争议地区新闻的Kashmir News等。

从恶意样本的时间戳来看，国外样本最早出现在2013年11月，样本编译时间集中出现在2015年7月至2016年9月期间。

国内感染用户的样本的编译时间集中在2016年5月到9月期间，其网络活动的活跃时间集中在9月份，其CC至今依然存活。

主要受影响单位：中国某国家部委、中国某工业集团、中国某电力单位。

四、 MONSOON事件

2016年8月，Forcepoint 发布了一个APT攻击的追踪报告。该报告由Forcepoint安全实验室特别调查小组长期独立追踪完成。该调查小组隶属于Forcepoint安全实验室，由优秀的恶意软件逆向工程师和分析师组成，其职责是专门深入研究僵尸网络和APT攻击。他们与全球众多值得信赖的机构协作，以提供切实可见的决策为宗旨，向大众、客户以及合作伙伴等利益相关者传递相关信息，针对网络安全问题，警醒全球用户。此次APT事件来自印度的针对中国和南亚国家。

六、白俄罗斯军事通讯社事件

最近，互联网上出现一起针对白俄罗斯军事网站的渗透活动，攻击者通过电子邮件做为诱饵，在电子邮件的附件中嵌入漏洞利用的文档，在受害者打开文档后，文档中嵌入的shellcode得以执行，实现对目标系统的控制。在受害者重启计算机后，通过操作系统的启动项加载PE文件，进行后续的渗透攻击。从我们最初得到的email来看，攻击者针对是白俄罗斯共和国国防部武装部队军事通讯社进行的定向攻击。

攻击者第一步是向白俄罗斯共和国国防部武装部队军事通讯社发送邮件。邮件主题“Куда идёт Беларусь”翻译成中文是”白俄罗斯将何去何从？”

七、APT28 Roskosmos事件

2016年6月在DNC电脑系统中曾发现APT28的渗透痕迹，其实早在过去，网络安全公司火眼曾把APT28与2007年检测到的一起攻击联系起来，该起攻击的目标是格鲁吉亚、波兰、匈牙利、土耳其和波罗的海各国，以及欧洲安全合作组织(OSCE)。而现在更有研究指出该组织一直将注意力转移到世界反兴奋剂(WADA)等西方政府或军事机构，而这次他们使用了新型木马Komplex来感染苹果系统设备。

在过去一些分析中认为APT28主要依赖3种不同的攻击途径来感染他们的目标：用恶意Word和Excel文档作为附件的钓鱼邮件，钓鱼网站，会导致Java和Flash 0-day漏洞的恶意iFrame代码。在过去的两年中出现了许多活跃的黑客组织，比如APT28、Sofacy、Pawn Storms、Fancy Bear以及Sednit等。

而在近期美国民主党委员会遭到网络攻击一事中，英国伦敦国王学院的教授Thomas Rid曾就此事件写了一篇最权威的文章，列出所有迹象和证据表明俄罗斯政府就是DNC网络攻击背后的黑手，而后经过调查，美国安全公司CrowdStrike已经确认，第一起攻击其网络的时间为2015年，第二个黑客组织于2016年发起攻击，而在这种就发现该组织痕迹。然而恶意软件Komplex是如何快速感染目标用户？其实方法也不是很复杂，主要是通过钓鱼邮件的方式，引诱不知情的用户感染木马病毒，伪装的信息一般是俄罗斯即将推出的太空计划或最新项目，而这些会有多少人不感兴趣，于是感染的用户越来越多。

八、Patchwork 事件

最近，一个与东南亚和中国南海问题相关的APT攻击被发现，该APT攻击以包括美国在内的各国政府和公司为目标 。经安全专家分析，该APT攻击所使用的全部工具代码都是通过 复制-粘贴 互联网公开代码组合而成，相对于其它APT特有的攻击工具而言，比较独特。

该APT攻击于今年5月在针对欧洲政府部门的一起钓鱼活动中被发现，攻击目标为一个中国政策研究机构的工作人员，其以PPT文档为诱饵发起网络攻击，文档内容为中国在南海的一系列活动。

Patchwork现如今的攻击目标有了极大范围的扩展，不过主要还是针对公共部门和企业。近期Patchwork的一些攻击针对的行业包括：航空、广播、能源、金融、非政府组织、制药、公有企业、出版、软件。

攻击目标的地理位置则也扩展到了美国之外，虽然大约有半数攻击仍然针对美国，但其余攻击针对的国家地区则相对已经比较分散了，包括中国、日本、东南亚、英国等。而其攻击方式看来并没有太大变化，仍然是向目标发出时事新闻邮件。邮件中会包含攻击者的网站链接，这些网站的内容主要都是中国相关。

九、BlackEnergy

去年年底的时候，一波网络攻击的其中几个部分经鉴定是针对乌克兰的。而对这些攻击比较广泛的说法是，此次攻击是著名的BlackEnergy木马并且增加了一些新的模块。

BlackEnergy木马是著名的黑客Cr4sh创造的。在2007年，他声称不再开发这款木马，并且卖出木马的源码，估价在$700。刚开始，在2008年它被一些黑客们用来针对格鲁吉亚进行DDOS攻击。这些不知名的黑客在随后的几年里持续进行DDOS攻击。

大概在2014年，一个特别的BlackEnergy组织开始引起大家的注意，他们开发了监测控制和数据采集类的插件来威胁ICS并且在全世界范围都非常活跃。这显示出BlackEnergy还存在的一些特别的能力，不仅仅局限于DDOS攻击。因此，我们称他们为BlackEnergy APT组织。

这些组织的其中的一个APT攻击的目标就是乌克兰。自从2015年中期开始，乌克兰就开始存在通过Excel宏病毒进行BlackEnergy攻击，如果用户打开此类文档脚本就会释放木马至本地硬盘。

最近，我们发现了一种新型的针对乌克兰的BlackEnergy APT文档类攻击。不像以前采用Excel工作簿进行攻击，此次采用的是Word文档。该文档通过提及乌克兰“Right Sector”反对派政府来达到迷惑的效果。

十、SWIFT系统攻击事件

2016年2月孟加拉国央行被黑客攻击导致8100万美元被窃取的事件被曝光后，如越南先锋银行、厄瓜多尔银行等，针对银行SWIFT系统的其他网络攻击事件逐一被公开。

在分析孟加拉国央行和越南先锋银行攻击事件期间，我们发现近期曝光的这4起针对银行的攻击事件并非孤立的，而很有可能是由一个组织或多个组织协同发动的不同攻击行动。

另外通过对恶意代码同源性分析，我们可以确定本次针对孟加拉国央行和越南先锋银行的相关恶意代码与Lazarus组织（APT-C-26）有关联，但我们不确定幕后的攻击组织是Lazarus组织（APT-C-26）。