一、前言

高階可持續性攻擊,又稱APT攻擊,通常由國家背景的相關攻擊組織進行攻擊的活動。APT攻擊常用於國家間的網路攻擊行動。主要通過向目標計算機投放特種木馬(俗稱特馬),實施竊取國家機密資訊、重要企業的商業資訊、破壞網路基礎設施等活動,具有強烈的政治、經濟目的。

隨著中國國際地位的不斷崛起,各種與中國有關的政治、經濟、軍事、科技情報蒐集對專業黑客組織有極大的吸引力,使中國成為全球APT攻擊的主要受害國之一,針對中國境內的攻擊活動在2018年異常頻繁。多個境外攻擊組織輪番對中國境內的政府、軍事、能源、科研、貿易、金融等機構進行了攻擊。活躍的攻擊組織包括海蓮花、蔓靈花、白象、DarkHotol等。不僅如此,中國周邊的國家以及中國的”一帶一路”國家,也成為APT組織重點關注的物件。

APT組織的高階攻擊技巧對普通網路黑產從業者起到教科書般的指導示範作用,一些剛出現時的高階攻擊技巧,一段時間之後,會發現被普通黑產所採用。比如在精心構造的魚叉釣魚郵件附件中使用帶漏洞攻擊或巨集程式碼攻擊的特殊文件,利用高危漏洞入侵企業伺服器系統等。針對企業的APT攻擊最終會殃及普通網民,2018年典型的攻擊案例之一是黑客團伙對驅動人生公司的定向攻擊,通過控制、篡改伺服器配置,利用正常軟體的升級通道大規模安裝雲控木馬。

騰訊御見威脅情報中心高階持續性威脅(APT)研究小組在長期對全球範圍內的APT組織進行長期深入的跟蹤和分析,我們根據我們的研究成果以及各大安全廠商的APT攻擊報告,完成了該份2018年APT研究報告。

二、APT全球攻擊概況

為了掌握APT攻擊在全球的活動情況,騰訊御見威脅情報中心的研究團隊針對全球所有安全團隊的安全研究報告進行研究,並提取了相關的指標進行持續的研究和跟蹤工作。我們發現,在2018年全年,我們發現共有35個安全機構釋出了208篇APT相關的研究報告,涉及個58個APT組織。當然由於安全公司眾多,監測可能有所遺漏,敬請諒解。

經過統計,相關攻擊報告最多的幾個APT組織如下(只選取報告中有明確組織資訊的):

針對被攻擊地區分佈,相關的安全報告的統計如下(之選取報告中有明確的攻擊組織和物件):

由此可以看出,無論是攻擊組織和攻擊報告數量,東亞和東南亞都遙遙領先於世界其他地區,是專業APT組織特別關注的敏感地域。而由於中東局勢的混亂,針對中東地區的APT攻擊和組織也相對較多。歐洲和北美則保持精英化的狀態,雖然攻擊組織不多,但是都是實力雄厚的攻擊組織。

三、針對中國境內的APT攻擊

隨著中國在全球化程式中影響力的不斷增長,中國政府、企業及民間機構與世界各國聯絡的不斷增強,中國已成為跨國APT組織的重點攻擊目標。中國也是世界上受APT攻擊最嚴重的國家的之一。

1、針對中國境內的APT組織分佈

至2018年12月底,騰訊御見威脅情報中心已監測到2018年針對中國境內目標發動攻擊的境內外APT組織至少有7個,且均處於高度活躍狀態。下表列出部分攻擊組織的相關活動情況:

2、針對中國境內的攻擊的行業和地域分佈

根據騰訊御見威脅情報中心的統計顯示(不含港澳臺地區):2018年,中國大陸受APT攻擊最多的地區是遼寧、北京和廣東,其次是湖南、四川、雲南、江蘇、上海、浙江、福建等地。詳見下圖(不含港澳臺地區)。

而從行業上的分佈,政府部門依然是APT組織最為關注的目標,其次能源、通訊、航空、軍工、核等基礎設施也是重要的攻擊目標。而近些年來,金融、貿易、科研機構、媒體等行業也逐漸的被一些APT組織列為了攻擊目標。

3、針對中國境內的重點攻擊活動盤點

1)海蓮花(OceanLotus、APT32)

海蓮花APT組織是一個長期針對中國及其他東亞、東南亞國家(地區)政府、科研機構、海運企業等領域進行攻擊的APT組織。該組織也是針對中國境內的最活躍的APT組織之一。2018年該組織多次對中國境內的目標進行了攻擊,騰訊御見威脅情報中心也多次釋出了該組織的相關攻擊動向。

海蓮花攻擊組織擅長使用魚叉攻擊和水坑攻擊,NSA的武器庫曝光後,同樣還使用了永恆系列漏洞進行了攻擊。除此,投遞的攻擊武器也是種類繁多,RAT包括Denis、CobaltStrike、PHOREAL、salgorea等。

  • 白加黑攻擊

白加黑攻擊是海蓮花組織常用的攻擊方式之一,該組織在今年的攻擊活動中多次使用了該方式。白加黑組合包括dot1xtray.exe+ rastls.dll、SoftManager.exe+dbghelp.dll等。

  • 指令碼攻擊

使用bat生成加密的js:

最終在記憶體中呼叫loader類,載入最終的由CobaltStrike生成的beacon.dll木馬:

2)DarkHotel(黑店)

DarkHotel(黑店)是一個被認為來自韓國的APT組織(亦有研究團隊認為與朝鮮有關),該組織是近幾年來最活躍的APT組織之一,主要攻擊目標為電子行業、通訊行業的企業高管及有關國家政要人物,其攻擊範圍遍佈中國、朝鮮、日本、緬甸、俄羅斯等多個國家。

該組織技術實力深厚,在多次攻擊行動中都使用了0day進行攻擊,比如今年新曝光的CVE-2018-8174、CVE-2018-8373等。表明該組織實力雄厚,為達目標,不惜代價。在2018年,該組織也多次針對中國的目標進行了攻擊活動,如針對中朝貿易公司的高管、香港某貿易公司高管等。

該組織的一大特色是喜歡把木馬隱藏在開源的程式碼中進行偽裝,如putty、openssl、zlib等,把少量木馬程式碼隱藏在大量的開原始碼中,從而實現躲避檢測的目的,因此將被稱為“寄生獸”。

注:2018年12月,大量機構(其中不乏國家要害機構)的內部系統因採用的某開原始碼設計了一個介面彩蛋而引發嚴重風波,也證實許多機構在使用開原始碼時,並未仔細進行程式碼審計,從而有可能在引入的開源系統中,混入的有害程式碼不被察覺。

針對幾次攻擊活動,騰訊御見威脅情報中心也進行了披露。

如使用msfte.dll和msTracer.dll,來進行永續性攻擊,並把下發的shellcode隱藏在圖片檔案中:

DarkHotel(黑店)APT組織用於隱藏惡意程式碼的圖片之一

DarkHotel(黑店)APT組織用於隱藏惡意程式碼的圖片之二

同時通過下發外掛的方式,完成相關的任務:

3)白象(摩訶草、Patchwork)

白象是一個來自於南亞地區的境外APT組織,組織主要針對中國、巴基斯坦等亞洲地區和國家的政府機構、科研教育領域進行攻擊。部分基礎設施和程式碼和蔓靈花、孔子重合,這幾個組織間疑似有千絲萬縷的關係。

該組織在2018年同樣多次對中國的多個目標進行了攻擊活動。該組織同樣使用魚叉攻擊,誘餌文件帶有強烈的政治意味:

白象APT組織使用的誘餌文件之一

白象APT組織使用的誘餌文件之二

最終釋放的特馬為開源的Quasar RAT:

4)蔓靈花(BITTER)

蔓靈花APT組織是一個長期針對中國、巴基斯坦等國家進行攻擊活動的APT組織,該組織主要針對政府、軍工業、電力、核等單位進行攻擊,竊取敏感資料,具有強烈的政治背景。

2018年,騰訊御見威脅情報中心多次捕捉到了該組織針對中國境內多個目標的攻擊活動, 併發布了分析報告《蔓靈花(BITTER)APT組織針對中國境內政府、軍工、核能等敏感機構的最新攻擊活動報告》。

該組織主要使用魚叉釣魚進行攻擊,投遞偽裝成word圖示的自解壓檔案:

執行後,除了會執行惡意檔案外,還會開啟一個doc文件,用於迷惑使用者,讓使用者以為開啟的檔案就是一個doc文件。誘餌文件內容極盡誘惑力:

最終會下發鍵盤記錄、上傳檔案、遠控等外掛,完成資料的竊取工作。

同時經過關聯分析,我們還發現該組織疑似和白象、孔子(confucius)等組織也有千絲萬縷的關係。該組織的圖譜如下:

5)窮奇&藍寶菇

窮奇和藍寶菇疑似來自東亞某地區的攻擊組織,主要針對中國大陸的政府、軍事、核工業、科研等敏感機構進行攻擊活動。該兩個組織之間使用的攻擊武器庫有部分重疊,以至於很長一段時間我們都認為是同一個組織。因此我們猜測,這兩個組織為同一攻擊團隊的兩個小組。

藍寶菇在2018年多次對中國大陸的目標進行了攻擊,包括上海進博會期間的攻擊。

藍寶菇APT組織使用的誘餌文件之一

藍寶菇APT組織使用的誘餌文件之二

最終的攻擊武器包括bfnet遠控、竊取檔案的powershell指令碼等。

四、APT攻擊技術

1、攻擊方式

  • 魚叉攻擊

2018年,魚叉攻擊依然是APT攻擊的最主要方式,使用魚叉結合社工類的方式,投遞帶有惡意檔案的附件,誘使被攻擊者開啟。雖然該方式攻擊成本極低,但是效果卻出人意料的好。這也進一步體現了被攻擊目標的人員的安全意識亟需加強。從曝光的APT活動來看,2018年使用魚叉攻擊的APT活動比例高達95%以上。

如DarkHotel(黑店)APT組織針對中國某行業精心設計的釣魚郵件:

  • 水坑攻擊

水坑攻擊也是APT組織常用的攻擊手段,2018年,海蓮花、socketplayer等組織均使用過該攻擊方式。除了插惡意程式碼外,攻擊者還會判斷訪問該頁面的訪問者的ip,只有當訪問者在攻擊目標的ip範圍內,也會進行下一步的攻擊動作,依次來防止誤傷。

如某次海蓮花攻擊,該攻陷網站的某個js上插入了一段程式碼,用於訪問惡意程式碼:

  • 遠端可執行漏洞和密碼爆破攻擊

除了魚叉和水坑攻擊,利用遠端可執行漏洞和伺服器口令爆破進行攻擊,也成為了一種可選的攻擊方式。如專業黑客組織針對驅動人生公司的攻擊,該黑客組織得手後已對普通網民產生極大威脅。

2、攻擊誘餌種類

APT攻擊中,攻擊誘餌種類也是紛繁複雜,包括如下幾類:

文件類:主要是office文件、pdf文件
指令碼類:js指令碼、vbs指令碼、powershell指令碼等
可執行檔案:一般為經過RLO處理過的可執行檔案、自解壓包
lnk:帶漏洞的(如震網漏洞)和執行powershell、cmd等命令的快捷方式
網頁類:html、hta等

其中,以office文件類誘餌為最多,佔80%以上。而office文件中,payload的載入方式也包括利用漏洞(0day和Nday)、巨集、DDE、內嵌OLE物件等。

  • 巨集:在APT攻擊中,使用巨集來進行攻擊的誘餌,佔所有攻擊的誘餌的50%左右

注意工具欄下的巨集安全警告

  • 漏洞:構造的惡意誘餌中,使用漏洞佔比也有40%左右

在office漏洞利用中,攻擊者最愛的依然還是公式編輯器的漏洞。包括CVE-2017-11882、CVE-2018-0802以及比較少見的CVE-2018-0798。此外IE漏洞CVE-2018-8174、CVE-2018-8373,和flash漏洞CVE-2018-4878、CVE-2018-5002、CVE-2018-15982也有APT組織使用,但是並未大規模使用開來。

  • DDE:DDE在2018年年初的時候有過一段火熱期

包括APT28、Gallmaker等APT組織都使用過DDE來進行攻擊。

3、APT攻擊的技術趨勢

1)Fileless攻擊(無檔案攻擊)越來越多

隨著各安全廠商對PE檔案的檢測和防禦能力不斷的增強,APT攻擊者越來越多的開始使用無PE檔案落地的攻擊方式進行攻擊。其主要特點是沒有長期駐留在磁碟的檔案、核心payload存放在網路或者登錄檔中,啟動後通過系統程式拉取payload執行。

該方式大大增加了客戶端安全軟體基於檔案掃描的防禦難度。海蓮花、汙水(MuddyWater)、APT29、FIN7等攻擊組織都擅長使用該方式進行攻擊。

如海蓮花組織事先的通過計劃任務執行命令,全程無檔案落地:

2)C&C存放在公開的社交網站上

通訊跟資料回傳是APT攻擊鏈中非常重要的環節,因此如何使得通訊的C&C伺服器被防火牆發現成為了攻擊者的難題。因此,除了註冊迷惑性極強的域名、使用DGA、隱蔽通道等方式外,攻擊者把目光集中到了公開的社交網路上,如youtube、github、twitter等上。

如某次針對英國和瑞士的攻擊,C&C存放地址:

YouTube:

Twitter:

WordPress部落格:

Google plus:

3)公開或者開源工具的使用

往往,APT組織都有其自己研發的特定的攻擊武器庫,但是隨著安全廠商對APT組織研究的深入,APT組織開始使用一些公開或者開源的工具來進行攻擊,以此來增加溯源以及被發現的難度。

如SYSCON/KONNI,使用開源的babyface木馬和無介面的teamview(著名遠端控制工具)來進行攻擊:

4)多平臺攻擊和跨平臺攻擊

移動網際網路的成熟,使得人們已經很少在工作之餘使用電腦裡,因此使用移動端來進行攻擊,也越來越被APT攻擊組織使用。此外Mac OS的流行,也是的APT攻擊者也開始對Mac OS平臺進行攻擊。

如“人面馬”(APT34)、蔓靈花、Group123、雙尾蠍(APT-C-23)、黃金鼠(APT-C-27)等組織都擅長使用多平臺攻擊。此外黃金鼠(APT-C-27)還使用了在APK中打包了PE檔案,執行後釋放到移動端外接儲存裝置中的圖片目錄下,從而實現跨平臺的攻擊:

而除了PC端和移動端,路由器平臺的也稱為了APT組織的攻擊物件,如VPNFilter,已經攻擊了10多個國家的至少50萬臺的路由器裝置。

五、2018年重要的攻擊活動和組織

1、2018年活躍境外APT組織盤點

1)中東
在中東地區活躍的APT組織包括APT33、APT34(人面馬)、MuddyWater(汙水)、黃金鼠等。其中數MuddyWater(汙水)最為活躍。騰訊御見威脅情報中心也多次曝光過該組織的攻擊活動。

如MuddyWater針對土耳其安全部門的攻擊活動:

該組織的最大特點就是使用了一個用powershell指令碼寫的RAT,並且往往內建多個C&C地址,某次內建了500多個C&C地址。

2)歐洲

針對歐洲地區,活躍的APT組織包括APT28、APT29、Fin7、Turla、Gamaredon Group、Gallmaker等,但其中數APT28最為活躍。APT28是活躍在歐洲地區乃至全球的最活躍的APT攻擊組織之一,該組織疑似與俄羅斯情報機構GRU有關。

在2018年,該組織異常活躍,尤其是進入9月份以來,APT28使用zebrocy特馬對烏克蘭、白俄羅斯、北約等目標頻繁的進行了攻擊。不僅攻擊頻繁,其特馬的版本也非常多樣,包括C#、delphi、C++、GO、AutoIt等均被使用過。而最終的第二階段特馬,除了之前常用的Xagent、Seduploader外,還出現了名為”Cannon”的特馬,而”Cannon”目前也已經發現了delphi和C#兩個版本。

如針對白俄羅斯的魚叉攻擊:

3)東亞、東南亞

東亞、東南亞地區活躍的APT組織眾多,除了海蓮花、白象、蔓靈花、DarkHotel等,還包括Lazarus、Group123(APT37)、SideWinder、Donot Team等組織對朝鮮、韓國、巴基斯坦、印度、越南、柬埔寨、馬來西亞等國家進行攻擊。如Group123,2018年針對韓國、日本、越南等國家進行了攻擊活動。

4)北美

針對北美的攻擊,有APT28、APT29、Fin7、Lazarus 等,其中Lazarus APT組織是針對美國金融和政府進行攻擊的活躍的APT組織。騰訊御見威脅情報中心也對相關活動進行了披露,如使用Flash漏洞CVE-2018-4878進行攻擊活動:

除此,2018年6月,美國司法部還對lazarus的組織成員進行了起訴:

2、2018年新被披露的APT組織

1)響尾蛇(SideWinder)

響尾蛇(SideWinder)APT攻擊組織是一個疑似來自印度的攻擊組織,主要針對巴基斯坦等南亞國家的軍事目標進行攻擊。該組織的攻擊活多最早可追溯到2012年,但是該組織最早在2018年5月由騰訊御見威脅情報中心進行了公開披露。

某次攻擊活動的攻擊流程圖:

最終會收集相關計算機資訊,傳送給C&C伺服器:

2)White Company

該組織針對巴基斯坦的空軍進行了代號為”沙欣行動”的APT攻擊活動,該行動和組織最早在2018年11月被cylance公司進行了披露。

該組織有極強的技術能力,還有完善的攻擊武器利用平臺,可以根據目標環境不同隨時研發客製化工具。

該組織所使用的惡意程式碼能夠規避大多數主流防毒軟體的檢測,包括Sophos、ESET、Kaspersky、BitDefender、Avira、Avast、AVG和Quickheal。另外,在這場間諜活動中被使用的惡意軟體實現了至少五種不同的打包技術,為最終的有效載荷提供了極有效的保護。

3)WindShift

WindShift組織是一個針對中東地區的政府部門和關鍵基礎設施部門的特定工作人員進行攻擊的APT組織,該組織可利用自定義URL Scheme來遠端感染macOS目標。該組織最早在2018年8月的新加坡HITB GSEC會議上由Dark Matter LLC公司的安全研究員進行了披露。

該組織攻擊目標均位於所謂的海灣合作委員會(GCC)地區,即沙烏地阿拉伯,科威特,阿聯酋,卡達,巴林和阿曼。這些目標被髮送包含黑客執行的網站的連結的郵件。一旦目標點選連結,且受害者進行了互動,則會下載被稱為 WindTale 和 WindTape 的惡意軟體並進行感染。

4)Gallmaker

Gallmaker組織是一個以政府、軍事、國防部門及東歐國家的海外使館為攻擊目標的APT組織,該組織至少自2017年12月開始運營,最近一次的活動在2018年6月。該組織在在2018年10月由賽門鐵克進行了曝光。

該組織最大的特點是使用公開的工具進行攻擊,因此來隱藏自己的身份。

如某次攻擊活動:

攻擊成功後,他們就會使用下列公開的攻擊工具:

WindowsRoamingToolsTask:用於排程PowerShell指令碼和任務
Metasploit的“reverse_tcp”:通過PowerShell來下載該反向shell
WinZip控制檯的合法版本:建立一個任務來執行命令並與C&C通訊,它也可能用於存檔資料或者過濾新
Rex PowerShell庫:github上開源的庫,該庫幫助建立和操作PowerShell指令碼,以便於Metasploit漏洞一起執行

5)Donot Team

Donot Team是針對巴基斯坦等南亞國家進行攻擊的APT組織,該組織最早在2018年3月由NetScout公司的ASERT團隊進行了披露,隨後國內的廠商360也進行了披露。

該組織採用魚叉攻擊進行攻擊,並且該組織有成熟的惡意程式碼框架EHDevel和yty,目前已經至少已經更新到了4.0版本:

6)Gorgon Group

Gorgon Group是一個被認為來自巴基斯坦的攻擊組織。該組織在8月份由Palo Alto的Unit42團隊進行了披露。和其他組織不同的是,該組織最常見的攻擊是針對全球的外貿人士進行攻擊,同騰訊御見威脅情報中心多次披露的”商貿信”,但是奇怪的是,該組織還發現針對英國、西班牙、俄羅斯、美國等政府目標發起了攻擊。

針對撒網式的外貿目標,主要的檔名包括:

SWIFT {日期}.doc
SWIFT COPY.doc
PURCHASE ORDER {隨機數}.doc
DHL_RECEIPT {隨機數}.doc
SHIPPING RECEIPT {日期}.doc
Payment Detail.doc 等

而所用的武器庫均為一些商用的RAT,包括:

Azorult
NjRAT
RevengeRAT
LokiBot
RemcosRAT
NanoCoreRAT等

而針對政府的定向攻擊,主要使用一些政治意味強的檔名,如

Rigging in Pakistan Senate.doc
Raw Sect Vikram report on Pak Army Confidential.doc
Afghan Terrorist group report.doc等

3、2018年使用0day進行攻擊的APT組織

1)DarkHotel

DarkHotel在2018年多次使用IE 0day漏洞對攻擊目標進行了攻擊。其中CVE-2018-8174,該漏洞由國內的廠商360和國外的卡巴斯基進行了披露,而另一個漏洞CVE-2018-8373則由趨勢科技進行了披露。

2)Lazarus

Lazarus使用Flash漏洞CVE-2018-4878針對韓國的目標進行了攻擊。該在野0day最早被韓國CERT進行了披露。

3)BlackTech

BlackTech使用office漏洞CVE-2018-0802針對相關目標進行了攻擊,該漏洞是公式編輯器的一個漏洞,如今已經成為攻擊者最愛使用的office漏洞。該漏洞最早由騰訊御見威脅情報中心進行了披露。

4)HackingTeam

HackingTeam在2018年也多次使用了Flash 0day漏洞對相關目標進行了攻擊。其中CVE-2018-5002由騰訊御見威脅情報中心和360以及國外廠商ICEBRG進行了披露,另一個漏洞CVE-2018-15982則由國內的廠商360和國外的廠商Gigamom進行了披露。

如CVE-2018-5002的攻擊過程:

5)FruityArmor

FruityArmor組織在針對中東的目標的時候也使用了一個0day CVE-2018-8453在野漏洞,所幸該漏洞只是提權漏洞,未像遠端執行漏洞一樣造成大的危害。該在野0day由卡巴斯基進行了披露。

6)其他
在2018年,還發生了一件有意思的是,某個攻擊者在把攻擊樣本上傳到VT進行測試的時候,無意中洩露了兩枚0day。包括pdf漏洞CVE-2018-4990和windows提權漏洞CVE-2018-8120。該野外0day被ESET進行披露。該漏洞還未開始進行正式的攻擊活動,就被捕獲並且修補,實在是萬幸。

六、總結

雖然和平與安全是當今世界的主題,但是當前全球競爭態勢下各類衝突不斷髮生,國家間的APT攻擊活動有愈演愈烈之勢。此外也有部分APT組織已經開始以經濟利益針對不同的目標進行了攻擊。

雖然隨著國內外各大安全廠商對APT攻擊活動披露的越來越多,也使得之前各大APT組織的相關攻擊武器失效,攻擊的成本也越來越高,但是,只要存在利益,APT攻擊就不會停止,因此各相關部門、相關單位和企業且不可掉以輕心,必須時刻以最高的安全意識,應對各種不同的網路風險和攻擊。

另外,由於APT組織高超的攻擊技巧對普通網路黑產起到教科書般的示範作用。剛剛被發現時所採用的攻擊技巧一段時間之後會被普通黑產所採用,從最初針對政府機關、高精尖企業、科研機構的攻擊,演變為針對一般企業的網路攻擊,對整個網際網路的安全體系建設構成新的挑戰。

七、安全建議

1、各大機關和企業,以及個人使用者,及時修補系統補丁和重要軟體的補丁;

2、提升安全意識,不要開啟來歷不明的郵件的附件;除非文件來源可靠,用途明確,否則不要輕易啟用Office的巨集程式碼。

3、使用防毒軟體防禦可能得病毒木馬攻擊,對於企業使用者,推薦使用騰訊御點終端安全管理系統。騰訊御點內建全網漏洞修復和病毒防禦功能,可幫助企業使用者降低病毒木馬入侵風險;

4、使用騰訊御界高階威脅檢測系統。御界高階威脅檢測系統,是基於騰訊反病毒實驗室的安全能力、依託騰訊在雲和端的海量資料,研發出的獨特威脅情報和惡意檢測模型系統。

八、參考連結
1、https://www.symantec.com/blogs/threat-intelligence/gallmaker-attack-group
2、https://unit42.paloaltonetworks.com/unit42-gorgon-group-slithering-nation-state-cybercrime/
3、https://www.welivesecurity.com/2018/11/20/oceanlotus-new-watering-hole-attack-southeast-asia/
4、https://gsec.hitb.org/materials/sg2018/D1%20COMMSEC%20-%20In%20the%20Trails%20of%20WINDSHIFT%20APT%20-%20Taha%20Karim.pdf
5、https://gsec.hitb.org/materials/sg2018/D1%20COMMSEC%20-%20In%20the%20Trails%20of%20WINDSHIFT%20APT%20-%20Taha%20Karim.pdf
6、https://www.welivesecurity.com/2018/05/15/tale-two-zero-days/
7、https://blog.trendmicro.com/trendlabs-security-intelligence/new-cve-2018-8373-exploit-spotted/