APT 组织
APT 组织 是什么?
APT 组织拥有命名并被持续跟踪的威胁组织(通常受国家支持),对特定组织或行业发起有针对性、长期且资源充足的入侵活动。
APT(高级持续性威胁)组织是长期且资源充裕的对手,由数字或主题化代号标识,并由厂商与政府跟踪多年。常见例子包括 APT1 / Comment Crew(中国,解放军 61398 部队)、APT28 / Fancy Bear(俄罗斯 GRU)、APT29 / Cozy Bear(俄罗斯 SVR)、APT41(中国,兼具间谍与谋利双重动机)、Lazarus Group / APT38(朝鲜)以及 Equation Group(与美国有关联)。每个画像基于一致的 TTPs、恶意软件家族、基础设施、受害分布与代码复用建立。其行动通常串联鱼叉钓鱼、供应链投毒、零日漏洞、定制植入与隐蔽横向移动。Mandiant 的 APT 编号、CrowdStrike 的对手名、微软的气象命名、Recorded Future 的 TAG 实际上常常对应同一些群组的不同标签。
● 示例
- 01
APT28(GRU 26165 部队)被认为是 2016 年 DNC 入侵、WADA 泄密以及多起针对政治组织活动的幕后。
- 02
APT41 于 2020 年被美国当局起诉,涉及对 14 国以上的间谍与牟利性入侵。
● 常见问题
APT 组织 是什么?
拥有命名并被持续跟踪的威胁组织(通常受国家支持),对特定组织或行业发起有针对性、长期且资源充足的入侵活动。 它属于网络安全的 防御与运营 分类。
APT 组织 是什么意思?
拥有命名并被持续跟踪的威胁组织(通常受国家支持),对特定组织或行业发起有针对性、长期且资源充足的入侵活动。
APT 组织 是如何工作的?
APT(高级持续性威胁)组织是长期且资源充裕的对手,由数字或主题化代号标识,并由厂商与政府跟踪多年。常见例子包括 APT1 / Comment Crew(中国,解放军 61398 部队)、APT28 / Fancy Bear(俄罗斯 GRU)、APT29 / Cozy Bear(俄罗斯 SVR)、APT41(中国,兼具间谍与谋利双重动机)、Lazarus Group / APT38(朝鲜)以及 Equation Group(与美国有关联)。每个画像基于一致的 TTPs、恶意软件家族、基础设施、受害分布与代码复用建立。其行动通常串联鱼叉钓鱼、供应链投毒、零日漏洞、定制植入与隐蔽横向移动。Mandiant 的 APT 编号、CrowdStrike 的对手名、微软的气象命名、Recorded Future 的 TAG 实际上常常对应同一些群组的不同标签。
如何防御 APT 组织?
针对 APT 组织 的防御通常结合技术控制与运营实践,详见上方完整定义。
APT 组织 还有哪些其他名称?
常见的别称包括: 高级持续性威胁组织。
● 相关术语
- attacks№ 017
高级持续性威胁 (APT)
资源充裕、隐蔽性强的威胁组织 —— 通常由国家支持 —— 长期潜伏在目标网络中,用于窃取数据或为未来破坏行动预先布局。
- defense-ops№ 714
国家级威胁行为者
受政府支持或与政府一致的威胁行为者,为实现战略、情报、军事或经济目标开展网络行动。
- defense-ops№ 1145
威胁行为者
通过网络行动有意造成或试图造成对信息系统、组织或个人伤害的个人或组织。
- defense-ops№ 1148
威胁情报
关于威胁与威胁行为者的、基于证据的知识——包含指标、TTP 和背景——用于指导安全决策与检测。
- defense-ops№ 1131
战术、技术与过程(TTPs)
对威胁行为者运作方式的分层描述:战术(为什么)、技术(怎么做)、过程(具体实现)。
- attacks№ 1116
供应链攻击
通过攻陷可信的第三方软件、硬件或服务提供商,进而入侵其下游客户的攻击方式。
● 参见
- № 418FIN 威胁组织
- № 1191UNC 集群(未分类)
- № 1146威胁猎手
- № 315钻石模型(入侵分析)