原标题：5家新APT组织被披露，2019是“后起之秀”的天下？

“2018难过吗？不好意思，2019你还得照样过！”上班第一天，小赵的这句问候语算是真真切切地扎了心。这种感觉，就像是你花了三天时间灌的鸡汤付之东流，2018年那些糟心回忆似乎又回来了。

在网络安全领域2018年的糟心事儿的确也不少，这其中最属APT攻击让人印象深刻。而最新发现的APT组织以及与之匹配的隐蔽攻击手段似乎也在向各家网络安全公司宣誓——我们2019再见！

APT高持续性威胁这个专业名词源于2010年Google退华一事中的“极光攻击”这起安全事件，各国安全专家对这类攻击持续热议后总结而得。在此之后APT攻击与防护战拉开帷幕，这一斗就是10年。显然，这是场打不完的硬仗。

俗话说知己知彼才能百战不殆，面对充满挑战的2019年，我们似乎应该先从前一年的APT攻防战中汲取经验。对此，宅客频道在腾讯安全近日发布的《腾讯安全2018年高级持续性威胁（APT）研究报告》中扒了扒，并对2018年APT攻击的详细情况做了整理。

▲相关攻击报告最多的几个APT组织（只选取报告中有明确组织信息的）

APT攻击集中在东亚、东南亚

随着中国国际地位的不断崛起，各种与中国有关的政治、经济、军事、科技情报搜集对专业黑客组织有极大的吸引力，使中国成为全球APT攻击的主要受害国之一，针对中国境内的攻击活动异常频繁。针对被攻击地区分布，相关的安全报告的统计如下（之选取报告中有明确的攻击组织和对象）：

由此可以看出，无论是攻击组织和攻击报告数量，东亚和东南亚都遥遥领先于世界其他地区，是专业APT组织特别关注的敏感地域。而由于中东局势的混乱，针对中东地区的APT攻击和组织也相对较多。欧洲和北美则保持精英化的状态，虽然攻击组织不多，但是都是实力雄厚的攻击组织。

随着中国在全球化进程中影响力的不断增长，中国政府、企业及民间机构与世界各国联系的不断增强，中国已成为跨国APT组织的重点攻击目标。中国也是世界上受APT攻击最严重的国家的之一。

至2018年12月底，针对中国境内目标发动攻击的境内外APT组织至少有7个，且均处于高度活跃状态。下表列出部分攻击组织的相关活动情况：

据统计，2018年，中国大陆受APT攻击最多的地区是辽宁、北京和广东，其次是湖南、四川、云南、江苏、上海、浙江、福建等地（不含港澳台地区））。

而从行业上的分布，政府部门依然是APT组织最为关注的目标，其次能源、通信、航空、军工、核等基础设施也是重要的攻击目标。

近些年来，金融、贸易、科研机构、媒体等行业也逐渐的被一些APT组织列为了攻击目标。

5起重点攻击矛头直指中国

从上面可以看出，针对中国发起的APT攻击最多，其采用的手段更是花样繁多。在这里，我们整理了5起针对中国发起的重大APT攻击事件，并对其进行了简单分析。

1）海莲花（OceanLotus、APT32）

海莲花APT组织是一个长期针对中国及其他东亚、东南亚国家（地区）政府、科研机构、海运企业等领域进行攻击的APT组织。该组织也是针对中国境内的最活跃的APT组织之一。2018年该组织多次对中国境内的目标进行了攻击。

海莲花攻击组织擅长使用鱼叉攻击和水坑攻击，NSA的武器库曝光后，同样还使用了永恒系列漏洞进行了攻击。除此，投递的攻击武器也是种类繁多，RAT包括Denis、CobaltStrike、PHOREAL、salgorea等。

·白加黑攻击

白加黑攻击是海莲花组织常用的攻击方式之一，该组织在今年的攻击活动中多次使用了该方式。白加黑组合包括dot1xtray.exe+ rastls.dll、SoftManager.exe+dbghelp.dll等。

·脚本攻击

使用bat生成加密的js：

最终在内存中调用loader类，加载最终的由CobaltStrike生成的beacon.dll木马：

2）DarkHotel（黑店）