8月8日，国内新兴的APT技术厂商东巽科技发布了一份题为《东巽科技2046Lab团队APT报告：“丰收行动”》的安全报告。报告中提到，2016年7月，东巽科技2046Lab团队追溯到一起来自南亚某国隐匿组织的APT攻击，目标以巴基斯坦、中国等国的科研院所、军事院校和外交官员为主，通过窃取文件的方式获取与军事相关情报。由于样本的通信密码含有“January14”关键词，这一天正好是南亚某国盛行的“丰收节”，东巽把该APT事件命名为“丰收行动”。

C&C服务器建立时间的分析

受害者群体、领域分析

据了解，事件的起因是东巽科技2046Lab团队在7月捕获到一例疑似木马的样本，该木马样本伪装成Word文档，实为利用CVE-2015-1641漏洞(Word类型混淆漏洞)的RTF格式文档，以邮件附件的形式发给攻击目标，发动“鱼叉式攻击”。在将文件提交到多引擎杀毒平台检测后，发现54款杀软仅8款可以检出威胁，说明木马做了大量的免杀处理。随后，研究人员对样本进行了深入的人工分析，发现其C&C服务器依然存活，于是对其进行了跟踪溯源和样本同源分析，又发现了其他两处C&C服务器和更多样本。

失窃文件截图

失窃数据截图

与友商用大量样本统计来分析APT方式不同，2046Lab针对“丰收行动”的分析虽也利用了样本分析手法，但更多是利用跟踪溯源的方式。这种跟踪溯源和分析过程，剥离出了更多的真相。“从一个样本到一个C&C服务器，再到另一个样本，到另一个C&C服务器，每跟踪溯源一次，我们对攻击者的了解就加深一些，包括攻击者的目标对象、使用工具、C&C服务器据点、惯用手法，最后云开雾散，终于发现了攻击者的具体IP，找到了其在南亚某国的幕后大本营。这一过程不免让我们再次感叹，“人与人”的对抗确实是APT防护对抗的本质所在。”东巽科技CTO李薛表示。

本次“丰收行动”，再一次证明了APT攻击的存在和长期活跃，而导致攻击成功的主要因素是：防守在明、攻击在暗，受害者的防御措施与攻击者攻击手段存在能力差距，尤其是未知威胁的检测和预警能力。

李薛还认为，本次的揭露只是全球APT攻击事件的冰山一角，中国也是APT攻击的受害者之一。需要警醒的是，攻击者并不会因为本次的揭露而销声匿迹，至多是偃旗息鼓一段时间，然后以更隐蔽的方式卷土重来，并用上新的免杀技术、新的漏洞或者新的攻击方式。所以，通过本报告希望能给用户，尤其是可能遭受APT攻击的重要机构一些提醒和建议，落实习总书记4.19讲话精神，树立正确的网络安全观，充分识别自己的防御措施和攻击技术之间的差距，加快构建安全保障体系提前部署防御措施，尤其是未知威胁的检测和识别方面的能力建设，增强网络安全防御能力和威慑能力，防患于未然。