一. 宏观态势
时间:2022-03-24 03:36:01 | 来源:网络推广
时间:2022-03-24 03:36:01 来源:网络推广
基于绿盟科技云端服务2020年9月至2021年9月数据,从情报新增以及活跃监控发现的120个APT组织,可以总结出整个APT宏观态势具有如下特征:
亚洲是APT组织重点关注的区域,共22个国家遭受超过54次APT组织发起的攻击活动。其中中国(包括中国台湾和中国香港)就遭受12个组织的攻击,并且集中于政府、国防领域,从总体上看APT组织主要的意图仍以间谍活动、敏感信息窃取为主。
APT攻击的伪装技术的发展导致APT归因的复杂性增大,从而使得对APT组织的归因结果并不准确;已发布的APT报告显示,归因于我国的APT组织数量逐年增高,2021年新增的63个APT组织中有9个被国外研究机构归因于我国,有4个归因于俄罗斯,但是同期,归因为美国的组织却只有1个。随着伪装技术的发展(比如ATTCK战术(tactic)中TA0005就是防御规避,技术(technique)中T1036就叫做伪装),越来越多的伪装嫁祸使得难以从技术角度进行APT的归因。被伪装嫁祸的典型是朝鲜Lazarus Group,2021年一共披露了70份相关报告,新增IOC(IP:12,域名:324,邮箱:10,链接:410,哈希:1129,漏洞:5)数量远超正常。从应急和分析结果来看,攻击我国的APT组织经常伪装模仿APT32海莲花的战术战法。从这个方面也说明我们需要加强传统上攻击目标不是中国的APT组织的防护并提升归因相关研究的国际影响力。
供应链攻击开始成为APT组织的常用攻击手段,由于大部分的企业没有对供应链攻击做好充足的准备,导致类似案例均造成比较大的影响。如SolarWinds供应链攻击事件中根据官方提供的客户清单,影响超过98个企业,波及政府、咨询、技术、电信石油和天然气等行业;另一起针对BigNox的NoxPlayer模拟器供应链攻击更是影响全球超过1.5亿的用户。
以经济利益为主要攻击意图的APT组织占比逐渐提高,新发现的63个组织中有14个以此为活动目标,主要的表现形式为勒索、挖矿,比较新型的获益形式则是出售受害目标单位的访问权限,如UNC1945组织和TA547组织,这类组织在获取受害单位权限前后表现出截然不同的攻击技术手段以及攻击意图的差别。
恶意软件即服务(MaaS)在APT组织中逐渐流行,除了降低APT组织攻击成本之外还加大了攻击者归因的难度。以TA系列组织为例包括:TA569、TA800、TA577、TA551、TA570等,在初始阶段使用Trick、Dridex、Qbot、IcedID、ZLoader、Ursnif等恶意软件感染尽可能多的受害单位,第二阶段才分发WastedLocker、Ryuk、Egregor、Maze、Sodinokibi、ProLock等勒索软件实现其攻击意图。