APT 全球攻击活动概述
2021年上半年披露了70余个APT组织近100余起攻击活动,结合全球安全研究机构及安全厂商对APT组织的分析,《报告》总结出2021年上半年的APT组织活动具有以下特点:
从活跃组织上看——老牌APT组织如BITTER、Lazarus、Donot等组织持续活跃,不断更新完善工具集,同时也出现了数个新命名APT 组织,如:LazyScripter和UNC2198等。
从攻击手段上看——利用钓鱼邮件、0day及高危漏洞依然是APT组织青睐的主要手段,2021年Q1造成较大影响范围的是微软系列RCE漏洞链利用,虽然微软已及时发布补丁,但此漏洞已被多个黑客组织广泛利用。在2021年Q2,还有多个VPN的零日漏洞被黑客组织使用。
从恶意软件角度看——从恶意软件角度看,几乎每一个黑客组织都会使用公开或定制的恶意软件(如后门软件、窃密软件、挖矿软件、勒索软件等)进行后续攻击,近期的特点是黑客组织开始利用挖矿、勒索软件频率增多,甚至多种功能恶意软件叠加使用,这样不仅可以快速赚取可观的经济收益,还能同时进行数据窃取、泄密等活动。
从地域上看——地缘政治有关的国家和地区依然是APT 组织攻击活动的热点地区,而主要攻击的行业依然集中在政府、军工等行业。
APT组织主要活动情况分析
与地缘政治相关APT攻击活动
全球重点行业APT组织攻击活动
总结
从2021 年上半年的APT 组织攻击活动可以看出,老牌黑客组织使用的TTP已经达到非常成熟的阶段,即使新出现的APT组织,也能积极利用开源的各种工具及自动化框架等进行攻击;并且各个组织对于零日漏洞的利用能力逐步提升,在提高攻击效率的同时,也在不断的加强自身的攻击手法以避免被检测。APT攻击的主要目标依然是以获取经济利益为根本的针对银行业及互联网行业的攻击活动,以及具有国家背景的以政府、外交、国防工业为主要目标的黑客组织活动。
《报告》预测2021 年下半年APT 组织的攻击趋势会有更多变化:
从攻击方式上多种方式组合进行攻击已经常态化,其武器库随着需求不断进化来逃避检测;
APT 组织的攻击目标会更具体和定向化,利用双重功能的勒索软件会更受青睐,一次攻击获取巨大的收益的可能性更高,同时还可获取受害者重要资料数据;
供应链攻击作为网络防御能力较强公司或组织的突破口,会被越来越多的APT 组织使用,其波及范围和破坏影响力也是不可估算的;
目标行业会进一步扩展,除了政府、军事、金融、医疗等热门行业,新兴的5G 网络,体量庞大的IOT 设备,移动、远程办公设备等,都可能是APT 组织下一步瞄准的目标。