2019年第二季度的高级可持续威胁（APT）活动包括针对或起源于中东和韩国的一系列攻击行动。这些活动中，大多数专注于网络间谍或经济利益，但至少有一起攻击行动似乎是为了传播虚假信息。今年5月，卡巴斯基研究人员分析了网上泄露的明显属于伊朗实体的网络间谍资产，并得出结论，这些攻击的幕后黑手可能是Hades——一个与ExPetr和2018年冬季奥运会网络攻击有关的网络犯罪组织。卡巴斯基最新的季度威胁情报报告总结了这些以及其他全球APT趋势。

卡巴斯基季度APT趋势总结报告来自卡巴斯基的私人威胁情报研究以及其他来源，突出了研究人员认为每个人都应该注意的主要APT发展情况。

2019年第二季度，卡巴斯基研究人员在中东地区发现多个有趣的威胁活动。这包括一系列网上泄露的资产，例如代码、基础设施、组织以及明显的受害者详情，据称这些资产属于已知的讲波斯语的威胁攻击组织OilRig和MuddyWater。这些泄露的资产来自不同的来源，但是都在几周内出现。第三次网上泄密显然暴露了与一个名为"RANA研究所"的实体有关的信息，相关信息在一个名为“Hidden Reality”的网站上以波斯语发布。卡巴斯基研究人员对这些资料、基础设施和专用的网站进行了分析，得出结论，认为这些泄露事件可能与威胁组织Hades有关。Hades是针对2018年冬奥会实施攻击的OlympicDestroyer事件以及ExPetr蠕虫事件的幕后黑手，还参与了各种虚假宣传活动，例如2017年法国埃马纽埃尔·马克龙总统竞选活动的电子邮件泄露事件。

2019年第二季度的其他APT活动亮点还包括：

· 讲俄语的APT组织继续不断改进和发布新的工具，发起新的攻击行动。例如，从3月份开始，Zebrocy似乎将其注意力转到巴基斯坦/印度相关事件、官员以及外交和军事机构，同时维持着对当地和遥远的中亚政府网络的持续访问。Turla的攻击仍然以快速演化的工具集为特色，在一次值得注意的攻击中，他们很显然劫持了属于OilRig的基础设施。

· 与韩国相关的威胁活动仍然保持较高水平，而东南亚其他地区相比前几个季度，要沉寂的多。值得一提的攻击行动包括Lazarus组织针对韩国一家手机游戏公司发动的攻击；还有Lazarus的子组织BlueNoroff针对一家孟加拉银行和加密货币软件实施的攻击。

· 研究人员还发现一场由讲中文的APT组织SixLittleMonkeys发动的针对中亚政府机构的攻击行动，这些攻击中使用了新版的Microcin木马和远程访问工具（RAT），卡巴斯基将这种RAT工具称为HawkEye。

“2019年第二季度显示了威胁形势如何变得模糊和混乱，还有事情往往不是它看起来的样子。除此之外，我们看到一个威胁组织劫持了一个较小组织的基础设施，而另一个组织可能利用一系列在线泄露来传播虚假信息并破坏暴露资产的可信度。安全行业面临着日益艰巨的任务，需要通过烟雾和镜子，找到网络安全所依赖的事实和威胁情报。与往常一样，我们需要说明我们的可见性并不是完整的，有一些活动并没有被我们发现或完全了解，因此，防范已知和未知威胁对每个人仍然至关重要，”卡巴斯基全球研究和分析团队首席安全研究员Vicente Diaz说。

第二季度的APT趋势报告总结了卡巴斯基仅提供给订阅用户的威胁情报信息，其中还包括可协助进行取证和恶意软件追踪的感染迹象（IOC）数据和YARA规则。更多详情，请联系： intelreports@kaspersky.com

为了避免成为已知或未知威胁组织发动的针对性攻击的受害者，卡巴斯基研究人员建议采取以下措施：

· 为您的安全运营中心团队提供对最新威胁情报的访问，让他们了解威胁组织和网络罪犯使用的最新工具、技术和策略。

· 为了获得端点级别的检测、调查和及时的事故修复，请部署EDR解决方案，例如卡巴斯基端点检测和响应平台。

· 除了采用基本的端点保护外，请部署能够在早期阶段在网络层面检测高级威胁的企业级安全解决方案，例如卡巴斯基反针对性攻击平台。

· 由于很多针对性攻击都是以钓鱼攻击或其他社交工程手段开始的，所以要引入安全意识培训并教授员工实用安全技能，例如通过卡巴斯基自动化安全意识平台。