目录：

• 1、什么是APT攻击?APT的特点有哪些？
• 2、俄国黑客组织奇幻熊Fancy Bear是什么样的组织？奇幻熊官网是什么
• 3、“APT”是什么意思？
• 4、APT黑客组织为何又盯上数字货币？
• 5、APT是什么？

什么是APT攻击?APT的特点有哪些？

网络安全中攻击方式有很多，APT攻击就是其中之一。APT攻击是网络安全中影响性很大的网络攻击方式，因为它周期较长、隐蔽性极强。那么网络安全中什么是APT攻击?本文为大家介绍一下。

什么是APT攻击?

APT攻击，全称：Advanced Persistent

Threat，即高级持续性威胁，是一种周期较长、隐蔽性极强的攻击模式。攻击者精心策划，长期潜伏在目标网络中，搜集攻击目标的各种信息，如业务流程、系统运行状况等，伺机发动攻击，窃取目标核心资料。其中，攻击与被攻击方多数为政府、企业等组织，通常是出于商业或政治动机，目的是窃取商业机密，破坏竞争甚至是国家间的网络战争。

APT的特点可用A、P、T这3个首字母来阐述

A：Advanced(高级)APT攻击的方式较一般的黑客攻击要高明很多。攻击前一般会花费大量时间去搜集情报，如业务流程、系统的运行情况、系统的安全机制、使用的硬件和软件、停机维护的时间等。

P：Persistent(持续性)APT通常是一种蓄谋已久的攻击，和传统的黑客攻击不同，传统的黑客攻击通常是持续几个小时或几天，而APT攻击通常是以年计的，潜伏期可能就花费一年甚至更长的时间。

T：Threat(威胁)APT攻击针对的是特定对象，目的性非常明确，多数是大企业或政府组织，一般是为达到获取敏感信息的目的，但对被攻击者来说是一种巨大的威胁。

APT攻击生命周期较长，一般包括如下过程：

①确定攻击目标

②试图入侵目标所在的系统环境

③搜集目标的相关信息

④利用入侵的系统来访问目标网络

⑤部署实现目标攻击所需的特定工具

⑥隐藏攻击踪迹

俄国黑客组织奇幻熊Fancy Bear是什么样的组织？奇幻熊官网是什么

奇幻熊（Fancy Bear），又名Sofacy Group，APT28，Pawn Storm，Sednit，是一个网络黑客组织。可能成立于2007年，攻击对象多为政府、军队及安全机构，是高级持续性威胁（Advanced Persistent Threat，即APT）攻击的典型代表。

无官网，或尚未公开

“APT”是什么意思？

APT（Advanced Persistent Threat）是指高级持续性威胁。

APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。

利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式，APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。

APT黑客组织为何又盯上数字货币？

近日，腾讯御见威胁情报中心监测到疑似朝鲜的黑客组织Lazarus再度活跃，利用最新Flash漏洞CVE-2018-4878频繁发起攻击，通过传播暗藏FALLCHILL远程控制木马的恶意doc文档进行鱼叉攻击，对象主要为国外数字货币交易所。

从Adobe漏洞致谢公告来看，CVE-2018-4878漏洞的野外攻击样本最早是由韩国计算机应急响应小组（KR-CERT）发现。而KR-CERT也表示，来自朝鲜的黑客组织已经成功利用这个0Day 漏洞发起攻击，与Lazarus主要攻击目标一致，进一步验证了Lazarus组织就是本次攻击活动的发起者。

虽然该攻击目前尚未在我国发现，但国内用户仍不可放松警惕。腾讯安全联合实验室反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒政府、企业等用户，切勿随意打开来历不明的邮件附件，同时建议安装腾讯电脑管家等安全软件，可有效抵御不法分子的攻击。

《腾讯安全2017年度互联网安全报告》指出，2018年由数字加密货币而起的犯罪活动或将呈现高发态势。据国外安全公司的调查显示，本次发起攻击的Lazarus组织与2017年美国国防承包商、美国能源部门及英国、韩国等比特币交易所被攻击等事件有关。2017年席卷全球的“WannaCry”勒索病毒安全事件也被怀疑是该组织所为。

据公开资料介绍，Lazarus（T-APT-15）组织是来自朝鲜的APT组织，该组织长期对韩国、美国进行渗透攻击，此外还对全球的金融机构进行攻击。尽管Lazarus组织的攻击活动不断地被披露，但是该组织从未停止攻击的脚步，同时还把攻击目标不断扩大，包括能源、军事、政府等部门专项金融机构，尤其是数字货币交易所等，该组织堪称全球金融机构的最大威胁。

Lazarus组织擅长使用邮件钓鱼进行鱼叉攻击，同时武器库强大，具有使用0day漏洞发起攻击的能力。本次攻击依然采用该组织最常用的鱼叉攻击，通过内嵌恶意文档对目标进行攻击。不法分子十分狡猾，将邮件文档伪装成协议、最流行的加密货币交易所的安全分析、IT安全等热点内容，具有极强的迷惑性和诱惑性，以此吸引用户下载运行。

腾讯安全反病毒实验室经过分析溯源发现，该恶意文档卸载的载荷为FALLCHILL远程控制木马最新变种。FALLCHILL木马是朝鲜的黑客组织Lazarus开发并使用的木马，最早出现于2017年初。该木马能够实现远程文件操作、远程进程操作、远程信息获取、自卸载等各种功能，用户一旦中招，电脑重要信息将面临极大威胁。

APT是什么？

APT是Advanced Packaging Tool的缩写，是一款强大的包管理工具，也可以称作机制。使用Debian及其衍生版本的GNU/Linux用户一定对apt不陌生。在GNU/Linux中，对包的维护有多种方式。比如DebianGNU/Linux的dpkg（apt是dpkg的前端）,比如RedHat的RPM。tarball方式需要由于定制性很高，因而笔者认为这不是有序的包管 理方式，所以不在此篇谈及。如果您对此感兴趣也可以阅读tarball方式安装软件。多种包管理机制各有千秋；笔者比较喜欢apt的管理方式——懒人的方式。使用这种方式，用 户可以十分轻松地从指定的源获得丰富的软件，并对这些软件进行诸如安装、升级、卸载等工作；甚至使用apt对整个系统进行升级。要使用apt最好有网络环境。最好的意思是：倘有网络事情就变得异乎寻常的轻松，否则可 能要稍微麻烦些。先讲麻烦的事情吧——从cdrom安装文件。因为cdrom独特的性质——只读，我们当然只能对包进行安装的工作了。当然，如果用户使用了可写的光介质更新的数据再来更新Debian系统的话，我也没有异议。如果要把cdrom加入到apt的源（/etc/apt/source.list）中，可以使用apt-cdrom add命令 。本篇的重点在基于网络的使用。大家处在不同的地区，使用不同的网络，如何找到一个快速的源是很多朋友关心的一个问题。也有很多朋友在bbs或者maillist中贴出了他们使用的源。不过正如我在本段伊始所说，不同的人使用同一个源可能会有不同的速度。如何得到一个快速的源呢？使用apt-spy命令。默认的情况下系统中并没有这个命令，可以使用apt-get install apt-spy命令来安装。安装过后，要现更新apt-spy中的资源列表，使用命令apt-spy update。更新之后，利用apt-spy来找寻速度最快的源。使用命令apt-spy -a asia -d testing。-a是告诉apt-spy在亚洲这个地区搜索。-d是指定搜索testing的源。DebianGNU/Linux的发行包含三个版本：stable,unstable,testing。这有些类似FreeBSD的版本组织形式。stable是稳定版;unstable版有很多实验性质的新特性，不过这个版本也是不稳定的；testing介乎二者之间。笔者使用testing。apt-spy更新了源的地址之后，可以使用apt-get update来更新源了。在日常的管理中，可以不定期地使用apt-update来更新源，以获得新的软件包或者某个软件的升级。apt-get upgrade用来更新系统中已经安装了的软件包。在使用这个命令的同时，可以添加-u参数。这样用户就能看到哪些包裹将会被升级。如果想要知道是否有某个软件的apt资源，可以使用apt-cache search foo来查找相关的软件（foo为需要查找的软件）。不过颇为类似FreeBSD中ports的make seach key="foo"，在结果中总是包含有大量的信息———确切的或者类似的。所以如果希望搜索的结果更加准确可 以使用grep之类的软件对搜索的输出进行过滤。