文章目录APT 攻击事件大全一份跨越 18 年的网络安全情报合集覆盖范围仓库还提供了什么适合谁用一些局限总体评价APT 攻击事件大全一份跨越 18 年的网络安全情报合集做安全研究的人都知道APT 攻击报告散落在各个安全厂商的博客里Kaspersky 写一篇Palo Alto 写一篇Mandiant 再来一篇。想系统性地了解某个 APT 组织的活动轨迹得自己一个个去搜效率很低。GitHub 上有个项目专门干这件事把全球主要安全厂商发布的 APT 和网络犯罪活动报告按时间线整理到一个仓库里。项目叫 APT_CyberCriminal_Campagin_Collections目前 Star 数 4000 多持续更新中。覆盖范围这个仓库收录的报告从 2006 年一直延伸到 2024 年横跨将近 20 年。早期的记录比较稀疏2008 年只有零星几条但从 2014 年开始数量明显增长到 2019 年之后每年都有上百条记录。覆盖的威胁行为者很全。国家级 APT 组织方面APT28、APT29、APT41、Lazarus、MuddyWater、Kimsuky 这些常见名字都有收录。商业间谍软件方面Pegasus、Cytrox、Intellexa 的活动也在里面。每个条目都标注了出处厂商和发布日期方便溯源。来源厂商也覆盖了主流安全公司。Kaspersky、Palo Alto Networks Unit 42、Mandiant、Trend Micro、ESET、CISCO Talos、CheckPoint、Sophos、Zscaler、Google Threat Intelligence 等都在其中。这意味着同一起攻击事件有时能看到多家厂商从不同角度的分析。条目的格式统一每条都是日期 厂商 报告标题 原文链接 仓库内归档的结构。比如Jul 19 - [Google] APT41 Has Arisen From the DUST这种格式做检索很方便按年份分组按厂商筛选都行。仓库还提供了什么除了报告链接本身项目维护者还整理了一批外部参考资源。包括 APTnotes 数据集、MITRE ATTCK 的组织列表、APT 互动地图、以及多个安全研究机构的威胁情报源。这些资源和主仓库形成互补主仓库是时间线视角这些外部资源提供了组织视角和技术视角。仓库里还附带了一个 URL 转 PDF 的工具推荐方便把原文网页存档。这个细节说明维护者考虑到了安全报告经常会被厂商下线的问题。适合谁用这个项目对几类人比较有用安全分析师做威胁情报研究时可以用它快速回溯某个组织的历史活动。比如想了解 Lazarus 组织 2023 年的所有活动直接翻到 2023 年的条目就能找到相关报告。安全运营团队在做事件响应时如果发现可疑的 TTP 或工具特征可以来这里搜一下看看有没有已知的 APT 组织用过类似手法。安全爱好者和学生想系统学习 APT 攻击这个仓库相当于一个现成的阅读清单按时间顺序读下来能建立起对全球威胁态势的基本认知。一些局限需要说明的是这个仓库主要是链接索引不是分析报告。它帮你找到报告原文但不对报告内容做二次分析或总结。如果你需要的是浓缩版的威胁摘要这个仓库不直接提供。仓库里的条目以英文报告为主中文、日文、韩语等语言的安全报告覆盖较少。对于关注亚太地区威胁情报的用户来说可能还需要配合其他信息源使用。另外仓库的更新频率取决于维护者的精力不一定能覆盖所有安全厂商的报告。某些小众厂商或非英语报告可能会遗漏。作为补充资源使用比较合适不建议当成唯一的情报来源。总体评价这个项目做的事情不复杂就是持续收集和整理。但正因为有人愿意花时间做这种基础性工作安全社区才能少一些重复劳动。4000 多个 Star 说明这个需求是真实存在的。如果你平时需要跟踪 APT 动态可以把这个仓库收藏起来定期翻一翻。比起自己一个个厂商去刷博客效率高很多。这个项目的价值不在于技术多复杂而在于有人持续在做整理这件事。安全行业的信息碎片化问题一直存在能有一个相对完整的时间线索引对整个社区都是好事。而在于有人持续在做整理这件事。安全行业的信息碎片化问题一直存在能有一个相对完整的时间线索引对整个社区都是好事。