深信服發佈《2020年網絡安全態勢洞察報告》,東亞地區是APT組織的首選目標

2020年,以“COVID-19”疫情主題魚叉攻擊已成爲APT組織的慣用手法遠程辦公成爲APT攻擊的“衆矢之的”……

2020年,亞洲是APT攻擊最活躍地區,另外中東東歐也相對頻繁。由此可見,APT攻擊更“青睞”於局勢敏感以及動盪的地區……

2020年,APT即服務快速發展,僱傭組織在基於經濟利益基礎上會對外提供攻擊服務……

據深信服千里目安全實驗室發佈的《2020年網絡安全態勢洞察報告》(以下簡稱報告),2020年,APT通過社會工程學,借“COVID-19”上位,並呈現出許多新的特點和發展趨勢

APT攻擊區域特徵依舊明顯,僱傭組織提供APT服務成趨勢

據《報告》顯示,2020年,APT組織區域性特徵依舊明顯,主要活躍在東亞、東南亞、南亞、東歐等局勢敏感以及動盪的地區。

東亞地區是APT組織的首選目標,活躍在東亞地區的Lazarus以及DarkHotel 更是 APT組織中的頂級組織。

南亞地區比較活躍的APT組織爲OceanLotus,也叫做海蓮花組織,今年其最大的變化是在攻擊行動中進行虛擬數字貨幣挖礦活動

南亞地區的相關APT組織在2020年對中國發起的攻擊是最爲活躍。

東歐地區的APT組織攻擊活動主要以中東、歐洲以及北美地區作爲主要目標。

目前,APT攻擊可以認爲是最先進的網絡攻擊形式,是當前網絡安全防護的重點。除傳統傳統上出於政治或經濟動機老練攻擊者攻擊外,國內外安全廠商陸續披露了多個“僱傭黑客”組織的攻擊行爲

以2020年被披露的僱傭黑客組織DeathStalker爲例,該組織主要針對從事金融業或金融業合作實體,包括法律辦事處財富諮詢公司和金融技術公司,其對我國也發起過相關攻擊行動。

僱傭黑客組織使用的戰術、技術和程序上已經達到了國家級的水平,其會向出價最高的人提供網絡間 諜服務,這可能是未來高級威脅攻擊的新趨勢,即APT即服務。

除了區域特徵明顯,APT攻擊發展還有三大顯著特徵

《報告》指出,從APT整體活動來看,未來,局勢敏感以及動盪的地區相關的APT攻擊活動會更加頻繁,未來地緣政治仍然是APT威脅組織的重要目標,此外,APT攻擊發展還有三大顯著特徵:

【特徵1】漏洞開發與0day網絡軍火商興起

漏洞是APT武器庫中不可缺失的資產之一,包括但不限於系統漏洞、應用漏洞(如IE、Firefox、Exchange)、網絡基礎設施路由器、網絡邊界產品)漏洞,該漏洞庫的強大與否取決於APT組織等級。一般性的APT組織會蒐集與整理歷史漏洞,並且涉及平臺少;國家級APT組織在歷史漏洞基礎上還會進行0day漏洞挖掘與利用開發。

頂級APT組織會繼續挖掘漏洞與開發相關利用工具;而不具有漏洞挖掘的組織可以通過0day網絡軍火商購買相關的漏洞利用工具。

【特徵2】利用入口設備與管理軟件

利用VPN進行攻擊在很早就已經存在了,因爲疫情期間居家辦公以及遠程辦公增多,更多的企業依賴VPN開展業務。2020年國內外已經出現了多起VPN漏洞攻擊事件、網絡邊界設備漏洞攻擊事件。

未來,APT組織更多聚焦在這類設備與軟件,深入分析該類設備以及軟件,挖掘其中的安全漏洞,實現以點擊面的攻擊效果,甚至達到供應鏈攻擊的效果。

【特徵3】多平臺攻擊一體化

除了傳統的Windows、Linux以及MAC OS系統平臺,越來越多的APT組織已經在移動端進行監控佈局與攻擊。在2020年,多個APT組織在移動端的攻擊事件不斷被披露。

並且伴隨着物聯網以及5G技術的逐漸發展與完善,APT組織同樣會對該類平臺研究相關的攻擊能力。除了新增其他平臺的攻擊能力之外,多平臺攻擊一體化同樣也是未來的趨勢之一。

此外,《報告》還指出,當前網絡黑產活動專業化、自動化程度不斷提升,技術對抗越發激烈,已逐漸呈現出與APT類似的攻擊特徵,兩者之間的技術差異也逐漸模糊,隨着網絡安全形勢的發展,大家在關注APT攻擊的同時,也應該對網絡黑產活動予以足夠的重視。