31月25日,奇安信威胁情报中心正式发布了全球高级可持续威胁(APT)2021过去一年的年度报告(以下简称报告)APT该活动进行了全面的分析。报告称,目前中国仍然是全球APT该活动的主要区域目标是,网络秘密盗窃和网络破坏活动继续加剧,经济和技术领域的网络安全正历前所未有的巨大考验。
报告显示,2021年,奇安信威胁情报中心首次使用奇安信威胁雷达对国内的威胁APT攻击活动进行了全方位遥感测绘,监测到中国大量IP几十个海外地址APT组织产生高风险通信。这表明至少有几十个海外APT该组织对国内目标发起了网络攻击。北京、广东、福建、浙江、江苏等沿海省份是中国的政治中心和经济发达地区APT组织网络攻击的主要目标区域。
根据受害者行业的分布,报告显示,基于奇安信威胁雷达遥测数据和客户侧APT2021年涉及中国政府、卫生医疗部门、高新技术企业的高级威胁事件和威胁报警数据综合分析仍占主要部分。
另一方面,奇安信威胁情报中心收录了434份涉及145个命名攻击组织或攻击行动的高级威胁公开报告。数据显示,2021年全球披露APT相关活动报告中,涉及政府(包括外交、政党、选举相关)的攻击事件占比为23%,其次是医疗卫生行业的事件占比为18%、科技占比14%。显而易见,2020年新冠病毒对网络攻击的影响,在2021年仍在延续。
奇安信威胁情报中心进一步分析了攻击中国的情况APT组织显示,海莲、毒云藤、EICAR、Darkhotel、在中国周边国家和地区潜伏国周边国家和地区APT该组织涉嫌控制中国的大部分控制IP地址。作为中国的老对手,海莲花和毒云藤在2021年仍保持着超高的活动频率,对中国的网络安全构成了最大的威胁。
尤其是海莲组织。作为中国最早披露的东南亚APT组织、海莲花在2021年攻击频率达到历史最高,除了渗透关键目标外,还将对终端管理软件公司、安全公司、技术公司进行全面攻击,成功入侵其代码服务器和开发人员,其目的是修改软件源代码,发起供应链攻击,同时挖掘政府和企业常用软件漏洞,这种定制漏洞极其隐蔽,在调查过程中难以发现。
值得注意的是,报告认为,除了常规的鱼叉、水坑等攻击方法外,0day漏洞已成APT常规武器和主要攻击活动APT组织的必争之地。
报告显示,自2021年以来,0day漏洞攻击呈爆发趋势,在野外使用0day/1day在网络安全历史上,有70多个漏洞是前所未有的。它不仅反映在拥有大量漏洞的系统和产品上,而且几乎涵盖了所有垄断市场份额的系统和产品,包括浏览器(Chrome/IE/Safari)、Windows操作系统、Windows Exchange Server、Microsoft Office、Adobe Reader、Apache HTTP Sever、iOS、Android等。
奇安信威胁情报中心发现,在野外0day漏洞利用的总体趋势是Windows基于平台,Chrome/Safari浏览器为主流向多平台延伸,内网核心服务域控/Exchange与此同时,成为新的爆发点iOS,Android随着生态的不断相关APT为这些平台组织0day攻击也逐年以稳定的趋势增加。
0day漏洞作为APT组织提高攻击能力的武器不仅成熟APT组织包括一些以前没有的组织0day利用漏洞的组织,如曼灵花组织,也在通过类似于第三方漏洞卖家的渠道扩展自己0day存储,追求0day资源,不断发展自己,不断更新攻击武器和手段,已经成为APT组织的大趋势。
针对愈演愈烈的APT报告预测,2022年,APT该活动将呈现以下六种趋势:疫苗及相关行业将继续受到攻击;针对中国APT行动将继续加剧,更加秘密;在野外0day漏洞利用持续爆发;针对关键基础设施的破坏和攻击将越来越猖獗;对网络安全产品的攻击将受到影响APT组织更多的青睐;供应链攻击更严重的供应链攻击。
阅读报告全文可访问:
https://www.qianxin.com/threat/reportdetail?report_id=150