看似平静的网络空间，实则暗潮汹涌，其中不乏无数勇立潮头的捍卫者，时刻守护着网络空间的安全。在此其中，一支安全团队脱颖而出——360高级威胁研究院(ATA)。

　　近期，360高级威胁研究院(ATA)又一次独家发现了APT组织Darkhotel(译名“黑店”)的新实锤，并登上ISC 2020大会，首次重磅发布了这次魔道斗法的全过程。

　　一边是游走在网络空间里的安全捍卫者，曾实力捕获全球约40个APT组织；一边是时刻企图肆虐网络的威胁制造者，曾连续针对我国各领域发起网络侵袭，此次再度掀起风云对话，战局走势不免引人关注。

　　追踪十年“黑店”

　　360 ATA再度披露惊天恶绩

　　首先，说起拥有着东亚背景APT组织Darkhotel，其相关攻击行动最早可以追溯到2007年。因为长期针对企业高管、政府机构、国防工业、电子工业等重要机构实施网络间谍攻击活动，其一系列的作恶行径让网络安全领域波澜迭起。

　　而在2014年11月，当这个专门将攻击目标锁定为企业高管的间谍组织开始浮出水面，其足迹早已遍布中国、朝鲜、日本、缅甸、俄罗斯等全球多国。

　　刀尖行走势必会百密一疏。随着Darkhotel露出马脚，360高级威胁研究院开始了对其的长期持续性追踪，一夕间，从所向披靡到被处处针对，Darkhotel似乎尝尽败绩。

　　l 2018年4月，360高级威胁研究院率先监测到Darkhotel组织瞄准中、俄、日、韩等国政府及组织机构或企业单位，尤其针对中国重点省份外贸企业单位和相关机构展开攻击；

　　l 今年2月，在Win 7停服之际，360高级威胁研究院全球首家捕获Darkhotel组织利用“双星”0day漏洞，瞄准我国商贸相关的政府机构发动攻击；

　　l 今年3月，360高级威胁研究院再次捕获到Darkhotel组织，劫持某VPN厂商下发恶意文件，锁定中国驻外机构、政府相关单位发动定向攻击。

　　交手数次，360高级威胁研究院发现老对头Darkhotel组织近年攻击行动越发频繁和“肆无忌惮”，其中已知的行为就包括W行动、Darkhotel、Erebus、Daybreak、Thinmon等。不仅如此，该组织使用的恶意代码极为复杂，漏洞武器库也极其充实，囊括双杀0day、双星0day等在内。

　　就在今年3月的这次攻击中，360高级威胁研究院利用360安全大脑发现DarkHotel使用了一个从未被披露过的全新后门框架，并根据该攻击组件的文件名将其命名为“Thinmon”后门框架。

　　继续深挖之下，这个神秘的全新后门框架实际上掩盖着另一个惊天秘密——自2017年起，Darkhotel利用这一框架，对我国实施了长达三年的持续性攻击。

　　360 ATA独家披露全新秘密武器

　　Thinmon究竟是何方神圣？

　　“后门程序”，如同“开天窗”的管理员身份。Thinmon这一后门程序其中不乏屏幕截图、文件窃取、键盘记录、远程监控等功能，且其插件在计算机中皆以二进制加密的形式存放在临时目录，只有在需要被加载启动时，调度模块才会对其解密并加载。

可以说，Thinmon是黑客组织长期潜伏渗透，进行情报窃取的绝佳间谍手段。

　　利用这款秘密武器，黑店针对我国东部沿海地区以及靠近朝鲜半岛的地区发起攻击，涵盖了政府、驻华机构、外贸、新闻媒体等多个行业，其中与贸易有关的企业占比最多达到1/4，其次是政府机构、新闻媒体，大型国企、高等院校。在最近的VPN劫持攻击事件中，有多个中国驻外机构受到了攻击。

　　360高级威胁研究院究竟是如何顺着蛛丝马迹找出“黑店”隐匿三年的真相？无非是凭借敏锐的关联力与识别力。

　　黑暗森林里的狩猎者

　　360 ATA身经百战

　　这里有必要介绍一下360高级威胁研究院(以下简称为360ATA)，它是360政企安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究。曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露过40多起国家级APT组织的高级行动，安全能力在行业内是相当受认可的。

　　和大家简单回顾一下团队的成绩：