深信服发布《2020年网络安全态势洞察报告》,东亚地区是APT组织的首选目标

2020年,以“COVID-19”疫情主题鱼叉攻击已成为APT组织的惯用手法远程办公成为APT攻击的“众矢之的”……

2020年,亚洲是APT攻击最活跃地区,另外中东东欧也相对频繁。由此可见,APT攻击更“青睐”于局势敏感以及动荡的地区……

2020年,APT即服务快速发展,雇佣组织在基于经济利益基础上会对外提供攻击服务……

据深信服千里目安全实验室发布的《2020年网络安全态势洞察报告》(以下简称报告),2020年,APT通过社会工程学,借“COVID-19”上位,并呈现出许多新的特点和发展趋势

APT攻击区域特征依旧明显,雇佣组织提供APT服务成趋势

据《报告》显示,2020年,APT组织区域性特征依旧明显,主要活跃在东亚、东南亚、南亚、东欧等局势敏感以及动荡的地区。

东亚地区是APT组织的首选目标,活跃在东亚地区的Lazarus以及DarkHotel 更是 APT组织中的顶级组织。

南亚地区比较活跃的APT组织为OceanLotus,也叫做海莲花组织,今年其最大的变化是在攻击行动中进行虚拟数字货币挖矿活动

南亚地区的相关APT组织在2020年对中国发起的攻击是最为活跃。

东欧地区的APT组织攻击活动主要以中东、欧洲以及北美地区作为主要目标。

目前,APT攻击可以认为是最先进的网络攻击形式,是当前网络安全防护的重点。除传统传统上出于政治或经济动机老练攻击者攻击外,国内外安全厂商陆续披露了多个“雇佣黑客”组织的攻击行为

以2020年被披露的雇佣黑客组织DeathStalker为例,该组织主要针对从事金融业或金融业合作实体,包括法律办事处财富咨询公司和金融技术公司,其对我国也发起过相关攻击行动。

雇佣黑客组织使用的战术、技术和程序上已经达到了国家级的水平,其会向出价最高的人提供网络间 谍服务,这可能是未来高级威胁攻击的新趋势,即APT即服务。

除了区域特征明显,APT攻击发展还有三大显著特征

《报告》指出,从APT整体活动来看,未来,局势敏感以及动荡的地区相关的APT攻击活动会更加频繁,未来地缘政治仍然是APT威胁组织的重要目标,此外,APT攻击发展还有三大显著特征:

【特征1】漏洞开发与0day网络军火商兴起

漏洞是APT武器库中不可缺失的资产之一,包括但不限于系统漏洞、应用漏洞(如IE、Firefox、Exchange)、网络基础设施路由器、网络边界产品)漏洞,该漏洞库的强大与否取决于APT组织等级。一般性的APT组织会搜集与整理历史漏洞,并且涉及平台少;国家级APT组织在历史漏洞基础上还会进行0day漏洞挖掘与利用开发。

顶级APT组织会继续挖掘漏洞与开发相关利用工具;而不具有漏洞挖掘的组织可以通过0day网络军火商购买相关的漏洞利用工具。

【特征2】利用入口设备与管理软件

利用VPN进行攻击在很早就已经存在了,因为疫情期间居家办公以及远程办公增多,更多的企业依赖VPN开展业务。2020年国内外已经出现了多起VPN漏洞攻击事件、网络边界设备漏洞攻击事件。

未来,APT组织更多聚焦在这类设备与软件,深入分析该类设备以及软件,挖掘其中的安全漏洞,实现以点击面的攻击效果,甚至达到供应链攻击的效果。

【特征3】多平台攻击一体化

除了传统的Windows、Linux以及MAC OS系统平台,越来越多的APT组织已经在移动端进行监控布局与攻击。在2020年,多个APT组织在移动端的攻击事件不断被披露。

并且伴随着物联网以及5G技术的逐渐发展与完善,APT组织同样会对该类平台研究相关的攻击能力。除了新增其他平台的攻击能力之外,多平台攻击一体化同样也是未来的趋势之一。

此外,《报告》还指出,当前网络黑产活动专业化、自动化程度不断提升,技术对抗越发激烈,已逐渐呈现出与APT类似的攻击特征,两者之间的技术差异也逐渐模糊,随着网络安全形势的发展,大家在关注APT攻击的同时,也应该对网络黑产活动予以足够的重视。