最新报告显示:政府部门仍是 APT 攻击的首要目标

首页 / 业界 / 报告 /  正文
作者:西西
发布于:2023-07-13
安全419关注到,奇安信威胁情报中心近日发布《全球高级持续性威胁(APT)2023年中报告》(以下简称《报告》),通过分析奇安信威胁雷达对 2023 上半年境内的 APT 攻击活动的全方位遥感测绘数据,展示了我国境内 APT 攻击活动及高级持续性威胁发展趋势。
 
《报告》发现,2023 年上半年全球范围内,政府部门仍是 APT 攻击的首要目标,相关攻击事件占比为 30%,其次是国防军事领域,相关事件占比 16%。与去年同期相比,教育、科研领域相关的攻击事件比例增高,占比分别为 11% 和 9%。


2023 年上半年涉及我国政府、能源、科研教育、金融商贸的高级威胁事件占主要部分,其次为科技、国防、卫生医疗等领域。



《报告》总结2023 年上半年全球高级威胁活动呈现出以下特点:
 
·移动端漏洞攻击风云再起

一直以来,Windows 都是 APT 团伙首要关注的目标平台,而随着近年移动端平台攻击的崛起,针对移动平台iOS/Android 的 0day 攻击也逐渐增多。相较于 PC 平台,移动端手机在物理上更接近受害者,具备天然的监听优势,同时移动平台中的数据也更加私密且定向。但无论是 iOS 还是 Android 平台,想要实现 0-Click 式的漏洞利用攻击,难度要比传统 PC 平台高上不少,因此能进行相关攻击的团伙通常技术实力积累雄厚或者背靠国家机器。
 
·网络设备成为廉价的 C2 屏障及攻击向量

传统的网络设备,如路由器、防火墙等常位于企业网络拓扑的关键位置,但长期以来这些设备的安全性都没得到足够的重视。尽管 NSA 针对防火墙的攻击武器早于 2017 年曝光,实际上关注这些网络设备本身安全性的人员并多。此外,由于质保过期等各种原因,很多网络设备的安全补丁甚至处于非常滞后的状态,因此近年来网络设备成为了很多 APT 攻击者的目标,如海莲花、APT28,他们都经常攻击一些外网上存在漏洞的网络设备。被攻陷的网络设备一方面可以作为 C2 的转发器,用于隐藏攻击者的真实IP,另一方面也可以作为攻击入口进行更深入的横向移动。
 
上半年内,《报告》观察到境外黑客组织在针对中国的 APT 攻击活动中大量使用了 0day 以及 Nday 漏洞。6 月初,国外安全厂商卡巴斯基披露了一个针对全球范围内利用 iOS 系统中 iMessage 信息服务的 0-Click0day 漏洞攻击。我们从该攻击的目标范围、复杂度、攻击技术和跨越时间来看,这是近十年内最顶尖的国家级 APT 攻击活动。通过我们的关联分析和确认,推测该攻击活动至少开始于 2019 年,且涉及国内大量受害者。
 
2023 年上半年,在野 0day 漏洞的利用情况同比 2022 年有所上升,漏洞数量接近 30 个左右。在漏洞涉及产品的供应厂商中,微软、谷歌、苹果的地位依然稳固,但是相较往年微软、谷歌势强而苹果势微的情况,今年三家厂商在曝出的在野 0day 漏洞数量上呈现出真正意义上的三足鼎立。