高级持续性威胁 (APT).

APT 同时指代攻击者和攻击行动:技术高超的对手会在目标环境中潜伏数周到数年,优先追求隐蔽与持久而非短平快的破坏。APT 通常综合运用鱼叉式钓鱼、供应链入侵、定制化恶意软件、就地取材(LotL)技战术以及零日漏洞。其目标通常是情报窃取(知识产权、外交电报、国防研究)、为破坏关键基础设施而预先布点,或长期金融窃取。

具名行动展现了这一谱系。APT29(Cozy Bear)在 2020 年用 SUNBURST 后门木马化了 SolarWinds Orion 更新,通过单一受信任供应商波及数千家组织。Volt Typhoon 是一个与中国关联的组织,它采用就地取材技术——使用 wmic、netsh、PowerShell 等内置工具而非定制恶意软件——在美国通信、能源、供水和交通网络中维持持久访问;CISA、FBI 与 NSA 在联合通告 AA24-038A(2024 年 2 月)中警告,其意图是为未来危机中的破坏性攻击预先布点,而非情报窃取。

防御需要多层控制:基于威胁情报的检测、具备行为分析能力的 EDR/XDR、网络分段、严格的身份管控、对认证与命令行活动的增强日志记录,以及围绕 MITRE ATT&CK 中编目的 TTP 进行主动威胁猎捕。

flowchart LR
  A[侦察] --> B[初始访问<br/>鱼叉钓鱼 / 供应链 / 零日]
  B --> C[立足点与<br/>持久化]
  C --> D[权限提升<br/>+ 凭据窃取]
  D --> E[横向移动<br/>就地取材]
  E --> F[长期隐蔽<br/>数据收集]
  F --> G[数据外泄或<br/>预先布点]
  F -.规避.-> H[EDR / 威胁猎捕<br/>MITRE ATT&CK]
  H -.检测并清除.-> C