文章目录APT 攻击案例合集安全从业者的参考库APT 攻击案例合集安全从业者的参考库做安全研究的人都知道APT 攻击报告散落在各家厂商的博客里找起来费劲。这个项目把全球主要安全厂商发布的 APT 和网络犯罪活动报告整理到了一起按年份分类从 2014 年一直收录到 2024 年。项目收录的来源包括 Google Threat Analysis Group、Mandiant、Kaspersky、Palo Alto Unit 42、Trend Micro、ESET、CISCO Talos、CheckPoint、Recorded Future、Microsoft 等。每条记录标注了发布日期、出处和对应的分析文档链接点进去就能看到完整的威胁分析报告。覆盖的攻击组织范围很广。朝鲜背景的 Lazarus、APT37、Kimsuky俄罗斯关联的 APT29、Pawn Storm伊朗方面的 MuddyWater、Agonizing Serpens、Seedworm中国的 APT41、Volt Typhoon、Flax Typhoon、Earth Lusca、Mustang Panda还有中东地区的 Scarred Manticore、ShroudedSnooper。每个组织的攻击手法、目标行业、利用的漏洞和恶意软件变体都能在对应年份的报告里找到详细分析。2024 年收录的案例里能看到 APT41 利用 DUST 漏洞的新动向、MuddyWater 部署的 BugSleep 后门、Volt Typhoon 对美国关键基础设施的攻击、Water Hydra 利用 SmartScreen 零日漏洞针对交易员的行动。2023 年有 Kaspersky 披露的三角测量行动硬件层面的分析、Microsoft 关于 Flax Typhoon 利用合法软件潜入台湾组织的报告。再往前翻SolarWinds 供应链攻击、Hafnium 利用 Exchange 漏洞的事件也都有收录。每条报告对应的文件夹里存放了原始报告的 PDF 或网页存档方便离线查阅和归档。项目维护者还整理了一份参考资源列表包括 APTnotes、MITRE ATTCK Groups 数据库、vx-underground 的 APT 页面、Google 表格形式的 APT 组织索引以及多个威胁情报聚合项目。这些资源互相补充构成了一个比较完整的 APT 研究资料体系。对安全分析师来说这个仓库省去了逐个厂商博客翻找的时间。写威胁情报简报的时候按年份和厂商筛选几分钟就能定位到相关报告。做攻击组织溯源时同一个组织在不同年份的活动轨迹可以串联起来看。应急响应过程中需要快速了解某个 APT 组织的已知手法这里也能找到现成的参考资料。项目持续更新最近一条记录停留在 2024 年 7 月。如果发现有遗漏的 APT 或恶意软件活动报告可以通过 issue 提交补充。报告可以通过 issue 提交补充。