2020年,以“COVID-19”疫情为主题的鱼叉攻击已成为APT组织的惯用手法, 远程办公成为APT攻击的“众矢之的”……
2020年,亚洲是APT攻击最活跃的地区,另外中东与东欧也相对频繁。由此可见,APT攻击更“青睐”于局势敏感以及动荡的地区……
2020年,APT即服务快速发展,雇佣组织在基于经济利益的基础上会对外提供攻击服务……
据深信服千里目安全实验室发布的《2020年网络安全态势洞察报告》(以下简称报告),2020年,APT通过社会工程学,借“COVID-19”上位,并呈现出许多新的特点和发展趋势。
APT攻击区域性特征依旧明显,雇佣组织提供APT服务成趋势
据《报告》显示,2020年,APT组织区域性特征依旧明显,主要活跃在东亚、东南亚、南亚、东欧等局势敏感以及动荡的地区。
东亚地区是APT组织的首选目标,活跃在东亚地区的Lazarus以及DarkHotel 更是 APT组织中的顶级组织。
东南亚地区比较活跃的APT组织为OceanLotus,也叫做海莲花组织,2020年其主要对周围地区相关国家以及本国海内外异见人士进行攻击与信息监听,今年其最大的变化是在攻击行动中进行虚拟数字货币挖矿活动。
南亚地区的相关APT组织在2020年对中国发起的攻击是最为活跃,其中包括了BITTER、摩诃草、Confucius、SideWinder等。
东欧地区的APT组织攻击活动主要以中东、欧洲以及北美地区作为主要目标,2020年东欧地区相对比较活跃的组织有Gamaredon、APT28以及APT29(WellMess)组织,其中WellMess涉及国内相关攻击活动。
目前,APT攻击可以认为是最先进的网络攻击形式,是当前网络安全防护的重点。除传统传统上出于政治或经济动机的老练攻击者攻击外,国内外安全厂商陆续披露了多个“雇佣黑客”组织的攻击行为。
以2020年被披露的雇佣黑客组织DeathStalker为例,该组织主要针对从事金融业或金融业合作的实体,包括法律办事处、财富咨询公司和金融技术公司,其对我国也发起过相关攻击行动。
雇佣黑客组织使用的战术、技术和程序上已经达到了国家级的水平,其会向出价最高的人提供网络间谍服务,这可能是未来高级威胁攻击的新趋势,即APT即服务。
除了区域特征明显,APT攻击发展还有三大显著特征
《报告》指出,从APT整体活动来看,未来,局势敏感以及动荡的地区相关的APT攻击活动会更加频繁,未来地缘政治仍然是APT威胁组织的重要目标,此外,APT攻击发展还有三大显著特征:
【特征1】漏洞开发与0day网络军火商兴起
漏洞是APT武器库中不可缺失的资产之一,包括但不限于系统漏洞、应用漏洞(如IE、Firefox、Exchange)、网络基础设施(路由器、网络边界产品)漏洞,该漏洞库的强大与否取决于APT组织等级。一般性的APT组织会搜集与整理历史漏洞,并且涉及平台少;国家级APT组织在历史漏洞基础上还会进行0day漏洞挖掘与利用开发。
顶级APT组织会继续挖掘漏洞与开发相关利用工具;而不具有漏洞挖掘的组织可以通过0day网络军火商购买相关的漏洞利用工具。
【特征2】利用入口设备与管理软件
利用VPN进行攻击在很早就已经存在了,因为疫情期间居家办公以及远程办公增多,更多的企业依赖VPN开展业务。2020年国内外已经出现了多起VPN漏洞攻击事件、网络边界设备漏洞攻击事件。
在2020年底时,美国NSA披露俄罗斯相关APT组织正在利用VMware漏洞进行攻击活动。
未来,APT组织更多聚焦在这类设备与软件,深入分析该类设备以及软件,挖掘其中的安全漏洞,实现以点击面的攻击效果,甚至达到供应链攻击的效果。
【特征3】多平台攻击一体化
除了传统的Windows、Linux以及MAC OS系统平台,越来越多的APT组织已经在移动端进行监控布局与攻击。在2020年,多个APT组织在移动端的攻击事件不断被披露,例如BITTER、OceanLotus、Patchwork、SideWinder、Donot等组织。
并且伴随着物联网以及5G技术的逐渐发展与完善,APT组织同样会对该类平台研究相关的攻击能力。除了新增其他平台的攻击能力之外,多平台攻击一体化同样也是未来的趋势之一,例如Lazarus组织的三平台一体化攻击框架MATA。
此外,《报告》还指出,当前网络黑产活动专业化、自动化程度不断提升,技术对抗越发激烈,已逐渐呈现出与APT类似的攻击特征,两者之间的技术差异也逐渐模糊,随着网络安全形势的发展,大家在关注APT攻击的同时,也应该对网络黑产活动予以足够的重视。
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/11076.html