除却在野 0day 漏洞在网络世界中大放异彩外,国际上的冲突也导致网络世界战争不断,如乌克兰东部顿巴斯地区冲突加剧导致幕后势力双方通过网络攻击窃取情报,中东地区就核问题爆发激烈网络战争等等。
近日,奇安信威胁情报中心发布《全球高级持续性威胁 (APT) 2021年中报告》,总结了2021年上半年的主要攻击活动,包括新的 APT 组织和地缘 APT 组织的活动变化趋势,以及上半年全球 APT 事件所呈现的趋势。
上半年全球 APT 攻击趋势
《报告》显示,2021年上半年开始,全球 APT 组织正在集中攻击医学研究、网络安全、能源、贸易等行业,攻击的规模和网络武器的威力持续增大,这也许是近年来 APT 攻击活动最黑暗的半年。
1.安全公司及从业者成为 APT 攻击重点对象
2020 年末,网络安全公司 FireEye 被 APT 组织窃取红队工具,标志着网络安全行业的研究人员以及安全公司已经成为 APT 组织的重点攻击目标。
目前,针对安全研究人员的 APT 攻击主要借助社会工程学来实施。
2021年1月,Google 披露了 Lazrus 组织的攻击者伪装为安全漏洞研究人员来攻击真正的安全研究人员的事件。相关攻击手段包括仿造虚拟安全人员身份、建立含浏览器 0day 漏洞的安全分析博客、通过社会工程学与他人建立联系以发送含恶意代码的漏洞利用工程等,令人防不胜防。有分析指出这是相关 APT 组织希望通过攻击漏洞研究人员,从而窃取新的 0day 漏洞并为之所用。
除了攻击网络安全人员外,APT 组织在近一段时间也集中力量挖掘网络安全产品相关的漏洞,并通过漏洞入侵各大部署了相关安全产品的公司。如2021年4月21日,趋势科技通告称其反病毒产品漏洞(CVE-2020-24557)被在野利用。因此,安全公司的产品务必需要更加保证其安全和可靠性。
2.软件供应链攻击依旧频发
在2021年上半牟供应链攻击频频发生,《报告》观察到攻击的主要目标更侧重于在供应链中负责提供服务的公司。
国际航空电信协会 SITA 管理着全球超过 400 家航空公司的机票和常旅客数据处理,并为航空公司提供网络通信服务。其于2021年3月宣布服务器被黑客通过高度复杂的攻击手段入侵,基于该供应链,黑客通过 SITA 的旅客服务系统访问十余家航空公司的旅客隐私数据。
2021年4月1,代码测试公司 Codecov 的 Bash Uploader script 工具被黑客利用 Docker 映像文件获取到密码进行未授权修改,攻击者通过该手段持续收集该公司客户的重要凭证如 APT 密钥、存储信息等。
2021年4月20日至22日,黑客劫持了专门负责存储企业用户的密码管理系统Passwordstate的更新服务器,并下发了添加了恶意代码的软件,该软件被2万9千个公司约合37万安全和 IT 人员使用。
除却提供服务的公司被攻击导致的供应链攻击外,常用软件或平台本身的服务器被入侵导致供应链攻击的事件依旧为主流,如2021年3月29日,PHP 官方服务器 Git.php.net 遭入侵,攻击者通过该渠道两次提交恶意代码,主要用作远程代码执行的后门,代码也被同步到 Github 中。2021年2月,国外安全公司报道某安卓模拟器厂商被供应链攻击,且目标仅有5人。
在野 0day 狂潮下的 APT 攻击活动
202年上半年以来, APT 组织在野利用的 0day 漏洞数量超过40个,这在网络安全历史上也是未曾一见的。其不仅体现在漏洞数量多,而且其类型几乎覆盖具有垄断地位市场份额的系统和产品,包括浏器( Chrome / ESafari )、 Wndows 操作系统、 Windows Exchange Server 、 Mkrosoft Ofice 、 Adobe Reader 、1os、 Android 等等。
在野0day漏洞利用的整体趋劳为以 Windows 平台为基础,,Chrome / Safani 浏览器为主流向多平台延伸,因此可以预见,接下来的整个2021年应该是在野 0day 漏洞利用爆发的一年,而 0day 漏洞也将更广泛的被用于高级威胁攻击中。
《报告》列出了2021年上半年影响重大的在野 0day 漏洞。
地缘背景下的 APT 组织和活动
从上半年全球 APT 组织和活动披露来看, APT 威胁的整体活跃水平还是保持相当高的频度,主要活跃的 APT 组织位于东欧地区。
总结
从2021年上半年发生的 APT 攻击活动可以看出,全球 APT 组织为达成攻击目的不惜花费巨额资金和人力成本,比如投入使用价值不菲的大量高价值 0day 漏洞等。
随着 APT 组织追踪技术的成熟和时间的推移,一些最先进的 APT 组织的攻击也会慢慢浮出水面。2021年4月卡巴斯基在报告中表示 APT 组织 Lambert 新增了一种名为 Purple Lambert 的被动流量监听器,与此前披露的 Lambert 分析报告中涉及的两种流量监听器功能类似,而这样的木马可能会在系统潜伏了7年未被发现。
在2021年5月31日,多家外媒联合报道了关于丹麦国防情报局和美国国家安全局合作开展的 Dunhammer 行动,该行动主要为通过哥本哈根附近的 Sandagergardan 秘密监听站的海底光缆进行数据窃听,从中可以看出 APT 组织在未来会继续使用更耗费资源且更先进的技术进行攻击,其中 0day 漏洞或是更为复杂的木马都将会频繁出现。