一. 宏觀態(tài)勢(shì)

時(shí)間：2022-03-24 03:36:01 | 來(lái)源：網(wǎng)絡(luò)推廣

時(shí)間：2022-03-24 03:36:01 來(lái)源：網(wǎng)絡(luò)推廣

基于綠盟科技云端服務(wù)2020年9月至2021年9月數(shù)據(jù),從情報(bào)新增以及活躍監(jiān)控發(fā)現(xiàn)的120個(gè)APT組織,可以總結(jié)出整個(gè)APT宏觀態(tài)勢(shì)具有如下特征:

? 亞洲是APT組織重點(diǎn)關(guān)注的區(qū)域,共22個(gè)國(guó)家遭受超過(guò)54次APT組織發(fā)起的攻擊活動(dòng)。其中中國(guó)(包括中國(guó)臺(tái)灣和中國(guó)香港)就遭受12個(gè)組織的攻擊,并且集中于政府、國(guó)防領(lǐng)域,從總體上看APT組織主要的意圖仍以間諜活動(dòng)、敏感信息竊取為主。

? APT攻擊的偽裝技術(shù)的發(fā)展導(dǎo)致APT歸因的復(fù)雜性增大,從而使得對(duì)APT組織的歸因結(jié)果并不準(zhǔn)確;已發(fā)布的APT報(bào)告顯示,歸因于我國(guó)的APT組織數(shù)量逐年增高,2021年新增的63個(gè)APT組織中有9個(gè)被國(guó)外研究機(jī)構(gòu)歸因于我國(guó),有4個(gè)歸因于俄羅斯,但是同期,歸因?yàn)槊绹?guó)的組織卻只有1個(gè)。隨著偽裝技術(shù)的發(fā)展(比如ATTCK戰(zhàn)術(shù)(tactic)中TA0005就是防御規(guī)避,技術(shù)(technique)中T1036就叫做偽裝),越來(lái)越多的偽裝嫁禍?zhǔn)沟秒y以從技術(shù)角度進(jìn)行APT的歸因。被偽裝嫁禍的典型是朝鮮Lazarus Group,2021年一共披露了70份相關(guān)報(bào)告,新增IOC(IP:12,域名:324,郵箱:10,鏈接:410,哈希:1129,漏洞:5)數(shù)量遠(yuǎn)超正常。從應(yīng)急和分析結(jié)果來(lái)看,攻擊我國(guó)的APT組織經(jīng)常偽裝模仿APT32海蓮花的戰(zhàn)術(shù)戰(zhàn)法。從這個(gè)方面也說(shuō)明我們需要加強(qiáng)傳統(tǒng)上攻擊目標(biāo)不是中國(guó)的APT組織的防護(hù)并提升歸因相關(guān)研究的國(guó)際影響力。

? 供應(yīng)鏈攻擊開始成為APT組織的常用攻擊手段,由于大部分的企業(yè)沒(méi)有對(duì)供應(yīng)鏈攻擊做好充足的準(zhǔn)備,導(dǎo)致類似案例均造成比較大的影響。如SolarWinds供應(yīng)鏈攻擊事件中根據(jù)官方提供的客戶清單,影響超過(guò)98個(gè)企業(yè),波及政府、咨詢、技術(shù)、電信石油和天然氣等行業(yè);另一起針對(duì)BigNox的NoxPlayer模擬器供應(yīng)鏈攻擊更是影響全球超過(guò)1.5億的用戶。

? 以經(jīng)濟(jì)利益為主要攻擊意圖的APT組織占比逐漸提高,新發(fā)現(xiàn)的63個(gè)組織中有14個(gè)以此為活動(dòng)目標(biāo),主要的表現(xiàn)形式為勒索、挖礦,比較新型的獲益形式則是出售受害目標(biāo)單位的訪問(wèn)權(quán)限,如UNC1945組織和TA547組織,這類組織在獲取受害單位權(quán)限前后表現(xiàn)出截然不同的攻擊技術(shù)手段以及攻擊意圖的差別。

? 惡意軟件即服務(wù)(MaaS)在APT組織中逐漸流行,除了降低APT組織攻擊成本之外還加大了攻擊者歸因的難度。以TA系列組織為例包括:TA569、TA800、TA577、TA551、TA570等,在初始階段使用Trick、Dridex、Qbot、IcedID、ZLoader、Ursnif等惡意軟件感染盡可能多的受害單位,第二階段才分發(fā)WastedLocker、Ryuk、Egregor、Maze、Sodinokibi、ProLock等勒索軟件實(shí)現(xiàn)其攻擊意圖。