全球高级持续性威胁（APT）2020年度报告.pdf_报告吧baogao8.com-

资源描述

邮箱：ti_ 电话：4009-303-120 官网：扫描关注我们的微信公众号主要观点主要观点 / 全球高级持续性威胁（AP T）2020 年度报告医疗卫生行业史上首次超过政府、金融、国防、能源、电信等领域，成为全球 APT 活动关注的首要目标。全球 23.7% 的 APT 活动事件与医疗卫生行业相关。针对疾控与防疫机构、病毒研究机构、疫苗研发机构和其他相关的医学研究机构的高级威胁活动持续不断。中国首次超过美国、韩国、中东等国家和地区，成为全球 APT 活动的首要地区性目标。面对世界百年未有之大变局，中国的经济与科技发展，正在经受着前所未有的巨大考验。针对中国领先的科研机构、科技企业的网络窃密活动与网络破坏活动持续加剧。 2020 年，全球 APT 活动呈现出三大特点：疫情热点信息成 APT 活动常用诱饵，供应链和远程办公成为攻击切入点，定向勒索威胁成为 APT 活动新趋势。网络安全、互联网、芯片与半导体等行业成为 2020 年 APT 活动关注的新兴热点，出现了很多新的攻击特点，发生了多起影响深远的 APT 攻击事件。 0day 在野利用在 2020 年持续高发。攻击者选用的漏洞目标逐渐从 Windows 下的原生浏览器，向 Chrome、Firefox 等用户量更大的浏览器转移，如果用一句话来总结 2020 年的 0day 在野利用情况，我们愿称之为“Chrome 漏洞利用年”。我们预测，在 2021 年，APT 活动将呈现出如下六个趋势：疫苗及相关产业将会遭到持续攻击；针对中国的 APT 行动将持续加剧；远程办公的各个环节都将遭受 APT 攻击；地区冲突将引爆更激烈的网络战；网络武器库的泄露或将常态化；APT 组织可能组建基于 5G 与 IPv6 技术的物联网僵尸网络全球高级持续性威胁（AP T）2020 年度报告第一章全球高级持续性威胁综述一、全球高级威胁研究情况二、受害目标的行业与地域三、活跃高级威胁组织情况四、高级威胁年度活动特点第二章针对不同行业的高级持续性威胁一、医疗卫生行业二、网络安全行业三、互联网行业四、半导体行业第三章不同地区活跃的高级攻击组织一、东亚地区的组织与行动二、东南亚地区的组织与行动三、南亚地区的组织与行动四、东欧地区的组织与行动五、中东地区的组织与行动六、其他地区的组织与行动全球高级持续性威胁（AP T）2020 年度报告邮箱：ti_ 电话：4009-303-120 官网：摘要 / 全球高级持续性威胁（AP T）2020 年度报告目录 / 全球高级持续性威胁（AP T）2020 年度报告摘要 2020 年，奇安信威胁情报中心收录了高级威胁类公开报告共 642 篇，涉及了 151 个命名的攻击组织或攻击行动，其中，提及率最高的五个 APT 组织分别是：Lazarus：10.3%，Kimsuky：7.8%，海莲花： 5.4%，Darkhotel：4.8%，蔓灵花：3.2%。本次报告对开源情报中高级威胁活动涉及目标的国家和地域分布情况进行了分析和整理，监测显示高级威胁攻击活动几乎覆盖了全球绝大部分国家和地区。其中，开源情报中提及率最高的五个受害国家分别为：中国占比 7.4%，韩国：6.6%，美国：4.9%，巴基斯坦：3.2%，印度：3.2%。中国首次超过美国、韩国、中东等国家和地区，成为全球 APT 攻击的首要地区性目标。医疗卫生行业史上首次超过政府、金融、国防、能源、电信等领域，成为全球 APT 活动关注的首要目标。 2020 年，疫情热点信息成 APT 活动常用诱饵；供应链和远程办公成为切入点；定向勒索威胁成为 APT 活动新趋势海莲花组织依旧是东南亚地区最为活跃的 APT 组织。关键字：全球高级持续性威胁、APT、攻击组织、行动报告、定向攻击、网络犯罪目录 01 01 01 03 03 07 07 08 10 11 12 13 18 21 26 29 321 邮箱：ti_ 电话：4009-303-120 官网：第四章针对中国高级持续性威胁一、东亚地区组织对中国的攻击活动二、南亚地区组织对中国的攻击活动三、东南亚地区组织对中国的攻击活动第五章 APT 活动的技术趋势一、0D A Y、1D A Y 与 AP T 威胁二、移动终端场景 AP T 威胁第六章 2021 年高级持续性威胁预测一、疫苗及相关产业将会遭到持续攻击二、针对中国的 AP T 行动将持续加剧三、远程办公各个环节都将遭受 AP T 攻击四、地区冲突将引爆更激烈的网络战五、网络武器库的泄露或将常态化六、AP T 组织可能组建基于 5G 与 IPV6 技术物联网僵尸网络附录 1 全球主要 APT 组织列表附录 2 奇安信威胁情报中心附录 3 红雨滴团队 (RED DRIP TEAM) 全球高级持续性威胁（AP T）2020 年度报告目录 / 全球高级持续性威胁（AP T）2020 年度报告 33 33 33 34 35 35 41 42 42 42 42 43 43 43 45 48 49 第一章全球高级持续性威胁综 / 全球高级持续性威胁（AP T）2020 年度报告第一章全球高级持续性威胁综述公开来源的 APT 情报（以下简称“开源情报”）分析是了解全球网络安全研究机构安全关注，认知全球高级持续性威胁发展趋势的重要手段之一。2020 年，奇安信威胁情报中心对全球 200 多个主要的 APT 类情报来源进行了持续监测，监测内容包括但不限于 APT 攻击组织报告、APT 攻击行动报告、疑似 APT 的定向攻击事件、APT 攻击相关的恶意代码和漏洞分析，以及我们认为需要关注的网络犯罪组织及其相关活动。但由于来源众多，监测可能有所遗漏，敬请谅解。本章内容及结论主要基于对上述开源情报以及内部威胁雷达数据的整理与分析。一、全球高级威胁研究情况奇安信威胁情报中心在 2020 年监测到的高级持续性威胁相关公开报告总共 642 篇。各月监测数据如图 1.1 所示。 2020 年全球每月公开的高级威胁报告数量统计图 1.1 2020 年全球每月公开的威胁报告数量统计 Jan 43 May 39 Sep 58 Feb 56 Jun 35 Oct 70 Mar 61 Jul 49 Nov 42 Apr 67 Aug 41 Dec 81 二、受害目标的行业与地域 2020 年，新冠疫情席卷全球，从而带来新的网络攻击变化。通过开源情报并结合奇安信威胁情报中心威胁雷达数据显示：在全球 2020 年披露的 APT 相关活动报告中，涉及医疗卫生行业的事件占比为 23.7%，其次是政府（包括外交、政党、选举相关）22.5%，金融（包括银行、证券、数字货币等）、教育和国防（包括军事、军工、国防相关）紧随其后。这也是医疗卫生行业史上首次超过政府、金融、国防、能源、电信等领域，成为全球 APT 活动关注的首要目标3 2 全球高级持续性威胁（AP T）2020 年度报告邮箱：ti_ 电话：4009-303-120 官网：第一章全球高级持续性威胁综述 / 全球高级持续性威胁（AP T）2020 年度报告 2020 年高级威胁事件涉及行业分布情况科研 8.1% 互联网 3.2% 半导体 2.4% 航空 1.5% 医疗 23.7% 其他 3.1% 政府 22.5% 金融 13.3% 教育 12.8% 国防 9.4% 本次报告对开源情报中高级威胁活动涉及目标的国家和地域分布情况进行了分析和整理，监测显示高级威胁攻击活动几乎覆盖了全球绝大部分国家和地区。其中，开源情报中提及率最高的五个受害国家分别为：中国占比 7.4%，韩国：6.6%，美国：4.9%，巴基斯坦：3.2%，印度：3.2%。中国首次超过美国、韩国、中东等国家和地区，成为全球 APT 攻击的首要地区性目标。高级威胁事件涉及行业分布情况图 1.2 2020 年高级威胁事件涉及行业分布情况图 1.3 2020 年公开高级威胁针对国家 / 地区分布情况三、活跃高级威胁组织情况本次报告对开源情报中所提及的所有 APT 组织及相关行动进行了分析和整理。其中，提及率最高的五个 APT 组织分别是：Lazarus：10.3%， Kimsuky：7.8%，海莲花：5.4%， Darkhotel：4.8%，蔓灵花：3.2%。图 1.4 给出了 2020 年开源情报披露的活跃 APT 组织，字体越大，被披露次数越多。四、高级威胁年度活动特点图 1.4 2020 年主要 APT 组织相关报告情况统计 2020 年，新冠肺炎疫情爆发。在此疫情形势下，APT 活动的活跃程度似乎并未受到影响，反而借用疫情热点事件内容为诱饵的攻击活动变得越发频繁。根据奇安信威胁情报中心的监测，2020 年上半年，在针对我国的高级威胁活动中，就已经出现了大量以各类疫情热点信息为关键词的诱饵文件（诱骗吸引受害者打开的，含有恶意程序的各类文档）。2020 年 3 月下旬，奇安信曾发布COVID-19 | 新冠病毒笼罩下的全球疫情相关网络攻击分析报告一文，披露了 2020 年第一季度疫情相关攻击活动。（一）疫情热点信息成 APT 活动常用诱饵5 4 全球高级持续性威胁（AP T）2020 年度报告邮箱：ti_ 电话：4009-303-120 官网：第一章全球高级持续性威胁综述 / 全球高级持续性威胁（AP T）2020 年度报告从某种程度上说，通过供应链发起的攻击，属于攻击者发动的“降维打击”，往往使防守方束手无策。 2020 年，供应链攻击已经成为全球 APT 活动的流行新趋势。常见的供应链攻击有三种方式：第一种是攻击软件供应链的各个环节，包括第三方库的引用、开发人员、产品构建阶段等；第二种是攻击和目标相关的机构，包括 IT 供应商、软件供应商、硬件供应商、合作伙伴等；第三种是针对带有签名的合法应用、预装程序植入后门，这种方法能够实现更加隐蔽的攻击立足效果。对于软件产品来说，如果攻击者在源代码级别植入恶意代码，这些恶意代码将非常难以被发现。并且这（二）供应链和远程办公成为攻击切入点而到了 2020 年下半年以后，结合疫情热点发送鱼叉邮件或制作诱饵文件，逐步成为了全球高级持续性威胁的攻击的普遍趋势，针对我国的相关 APT 活动也进一步加剧。2020 年年中，“C OVID-19 treatment methods （新冠病毒治疗方法） ” 等内容在 APT 活动中最为常见；而到了 2020 年末含有 “covid vaccine（新冠病毒疫苗）”等内容 APT 组织诱饵文件在国外越来越多。图 1.5 所示为红雨滴团队根据 APT 攻击活动相关的诱饵文件热词制作的词云图。需要说明的是，尽管医疗卫生行业是 2020 年最受 APT 组织关注的行业，但结合疫情热点信息发起的 APT 攻击，并非只是针对医疗卫生机构，在针对政府机构和国有单位进行的攻击中，攻击诱饵也会经常会使用“疫情警告通知”“返乡疫情填报”“疫苗注射通知”等内容。图 1.5 相关的诱饵热词些恶意代码在披上正规软件厂商的合法外衣后，将能更加轻易地躲过安全软件产品的检测，往往会长时间潜伏于用户机器中不被察觉。2020 年末曝光的流行网管软件厂商 SolarWinds 被植入后门代码就属于这类攻击中的经典案例。奇安信威胁情报中心在 2020 年末还发布了软件供应链来源攻击分析报告，总结了记载详细且影响面较大的供应链攻击事件。例如，利用华硕升级程序的供应链攻击事件 ShadowHammer 行动，远程终端管理工具 Xshell 被植入后门代码事件等，均是针对生产公司内部进行入侵并篡改代码，可见一流 APT 组织的攻击活动趋势。对远程办公相关的软件或系统发起攻击，是 2020 年全球 APT 活动的又一大特点。新冠疫情在全球范围的蔓延，导致很多公司和机构采用了远程办公的方式。很多远程办公系统需要通过 VPN 接入企业内部网络，一旦 VPN 的软硬件系统出现安全漏洞，就有可能为攻击者提供重要的入口。只不过从历史披露的 APT 活动来看，利用 VPN 或远程访问的脆弱性作为入口的攻击活动一直比较少见。但是，2020 年，利用 VPN 漏洞发起的 AP T 攻击非常活跃。根据国外安全机构披露，AP T 组织 Fox Kitten 利用多个 VPN 漏洞向多个目标机构发起攻击，其中包括针对 Pulse Secure（CVE-2019-11510）、 Fortinet FortiOS（CVE-2018-13379）和 Palo Alto Networks VPN（CVE-2018-1579）等 VPN 系统的安全漏洞。相关活动持续了整个 2020 年。此外，2020 年 2-4 月，Darkhotel 利用我国某著名 VPN 系统的安全漏洞进行攻击。该组织的行动主要针对基层单位。除了 VPN 之外， 2020 年，某全球知名视频会议软件也被 APT 组织重打包，在国内外多个下载站进行投放。定向勒索威胁是指某些网络犯罪组织通过对特定机构的长期定向渗透，窃取机密数据，随后使用勒索软件加密相关数据，再以向公众披露相关数据相威胁，向特定机构勒索赎金的一种特殊的勒索软件攻击活动。网络犯罪组织在瞄准一个目标后，会进行为期数月的网络渗透活动。常见攻击手法包括社会工程学、网络漏洞入侵、内鬼入侵等。在成功入侵后，攻击者会先将该目标的数据全部盗走。在完成备份后，再释放勒索软件，将目标的数据全部加密。此后，勒索软件“运营商”会将被入侵目标的部分信息公示于众，并威胁目标必须缴纳赎金，否则将曝光目标的所有数据。图 1.6 所示为某勒索软件组织公开受害者部分数据的网站示例。（三）定向勒索威胁成为 APT 活动新趋势7 邮箱：ti_ 电话：4009-303-120 官网： 6 全球高级持续性威胁（AP T）2020 年度报告第一章全球高级持续性威胁综述 / 全球高级持续性威胁（AP T）2020 年度报告图 1.6 勒索软件组织公开受害者部分数据的网站示例由于这些针对性勒索攻击的攻击过程符合高级、持续性等威胁特征，因此我们目前认为：由某些犯罪组织发动的定向性勒索软件威胁活动，已经成为一种全球 APT 活动新形式和新趋势。事实上，早在一两年前，定向勒索威胁的事件就已经偶有发生。但是，一方面，当时这种勒索方式与传统勒索软件攻击（只勒索，不窃密，也不泄密）相比，发生几率较低；另一方面，人们对这种攻击的整个过程也缺乏深入的研究；所以，人们并没有把这种攻击方式列入高级威胁活动分析的对象。但是，在 2020 年，定向勒索攻击已经逐渐转变为一种新的流行趋势。尤其是自从疫情爆发开始，攻击频率就一直处于持续平稳增长态势。同时，安全工作者们经过深入研究，发现这种攻击具有明显的高级性和持续性。也正是基于这些变化，奇安信威胁情报中心已经将此类威胁纳入 APT 活动的监测与研究范围。目前，比较有名的定向勒索攻击组织有： DopplePaymer、 Egregor、 Netwalker、 REvil （Sodinokibi）、 Ryuk 等。还有一点需要说明：监测显示，目前使用勒索软件进行定向攻击的，不仅仅是某些网络犯罪组织，还有某些具有国家背景的攻击组织，甚至是有网军的参与。有国外研究机构认为，某些国家的政府甚至已经将定向勒索活动作为一种增加财政收入的基本手段。第二章针对不同行业的高级持续性威胁 / 全球高级持续性威胁（AP T）2020 年度报告第二章针对不同行业的高级持续性威胁 APT 威胁是定向性的，其会选择攻击的行业、地域、目标以及要达到的目的，这些是由 APT 组织在实施行动前制定的需要达到的阶段性目标和动机所决定的。从历史经验来看，APT 组织在一段时间内会保持其攻击目标行业的专注程度，这可能也与攻击组织在针对新的行业实施攻击时，需要时间收集和熟悉目标，并弥补自身能力与目标行业的缺失部分，以及构建相应的攻击武器库。 2019 年，金融、能源和电信这三个行业是 APT 威胁的主要行业目标。但在 2020 年，受疫情影响，APT 组织的关注度发生了转变，医疗卫生行业成为 APT 组织关注的首要目标，与疫苗研制、抗疫措施等相关的活动非常活跃。此外，网络安全、互联网、芯片与半导体等行业也成为 2020 年 APT 活动关注的新兴热点，出现了很多新的攻击特点，发生了多起影响深远的 APT 攻击事件。一、医疗卫生行业在新冠疫情出现之前，针对医疗卫生行业的网络攻击，主要来自网络黑产，主要目的是窃取信息、黄牛倒号和欺诈勒索（勒索软件）等。但自 2020 年年初开始，随着新冠疫情的全球泛滥，针对疾控与防疫机构、病毒研究机构、疫苗研发机构和其他相关的医学研究机构的高级威胁活动持续不断，并使整个医疗卫生行业成为 2020 年 APT 活动关注的焦点。 2020 年 1 月末开始，来自南亚、东南亚方向的多个 APT 组织，率先针对我国医学类高校和医学科研机构展开攻击。2020 年 7 月，美国 CISA（网络安全和基础设施安全局）发布报告称：来自东欧的 APT 组织正在大规模窃取疫苗数据；其中，著名的 APT29 组织进行了针对美国、英国和加拿大的新冠研究和疫苗相关的恶意网络活动。此外，EMA（欧洲药品管理局）于 12 月 9 日在其网站上发布了一条简讯，透露 EMA（欧洲药品管理局）遭到网络攻击；德国疫苗开发商 BioNTech 也发表声明，由该机构向监管机构提交的，其与辉瑞公司合作开发的新冠疫苗 BNT162b2 的相关资料，被存储在 EMA 服务器上，其中部分资料已被黑客入侵非法获取。事实上，与疫苗相关的 APT 活动，不仅仅局限在疫苗研发机构。与疫苗相关的其他行业也正遭受网络攻击。2020 年 10 月，有 APT 组织假冒生物医学公司 Haier Biomedical，向与新冠疫苗冷链相关的组织9 8 全球高级持续性威胁（AP T）2020 年度报告邮箱：ti_ 电话：4009-303-120 官网：第二章针对不同行业的高级持续性威胁 / 全球高级持续性威胁（AP T）2020 年度报告机构发起了攻击。奇安信威胁情报中心发现，在 2020 年末曝出的 SolarWinds 供应链事件中，我国部分与疫苗相关行业机构也受到了波及。二、网络安全行业网络安全公司会给各类大型机构进行安全服务，如果能够掌握安全公司的安全设备 0day 漏洞，或者是获取到安全公司的权限，即可入侵客户或者是查看其客户的机密资料。只不过，由于网络安全公司的自我防御能力往往相对较强，攻击网络安全公司对于 APT 组织来说也有较大的风险，所以以往针对安全公司的 APT 活动相对较少。但是，在 2020 年，受全球政治、经济、军事等大环境剧烈变化的影响，针对网络安全公司的定向攻击活动显著增多，这也引起了网络安全界的普遍关注。特别是由 2020 年末火眼武器库失窃事件引发的一系列相关事件，最为引人关注。此外，国内某安全公司的 VPN 软件，在 2020 年也遭受了攻击并被 APT 组织利用。相关情况已在上一章中有所论述。 2020 年 12 月 8 日，美国著名网络安全公司 FireEye （火眼）发布通告称，其遭到某国家级 APT 组织入侵，并窃取了其红队渗透测试工具集。通告提到，该国家级 APT 组织的主要目的是查看火眼的客户资料。被窃取的工具中含有火眼自己编写的黑客工具以及漏洞利用代码。此外，奇安信威胁情报中心分析火眼公布的检测规则发现，公网还存在火眼仿冒其他 APT 组织编写的木马。可想而知，这些工具落入 APT 组织手中无疑将成为另一个大杀器。在后续调查中，火眼为了查明攻击者是如何攻入其防御系统过程中，发现了其公司购置的 SolarWinds 相关软件中存在后门，并通报了此事。 S o l a r W i n d s 是一家全球知名的网管软件服务商。 2 0 2 0 年 1 2 月 1 3 日被通报存在后门代码后， SolarWinds 对全球客户展开排查，经排查发现，微软、火眼、思科、VMware 等大公司均被攻击者通过（一）火眼公司网络武器库失窃事件（二） SolarWinds 供应链事件该软件作为入口而成功渗透。此外，美国财政部、商务部等多个政府机构也可能已经沦陷；世界 500 强企业中，也有超过 9 成受到影响；全球至少 30 万家大型政企机构受到影响。 SolarWinds 被篡改后的后门代码被命名为 SUNBURST（Solorigate）。该后门代码会经过层层检测环境是否安全后，再采用自定义 DGA 算法进行域名生成，并通过 DNS 协议进行网络请求。在获取到 CNAME 返回的 IP 后，SUNBURST 会对攻击目标进行判断，主要通过内嵌的 IP 段进行黑白名单过滤。若目标符合则会下发第二阶段的木马，该木马被命名为 Teardrop。奇安信威胁情报中心通过对 SUNBURST 后门代码进行分析，解码了大量 DGA 域名数据，发现许多著名的大型企业都存在受影响的 SolarWinds 相关版本软件。奇安信威胁情报中心将相关研究成果发布到推特平台，被多家国外著名安全机构在文章中引用。相关推特文章及被引用情况如图 2.1 所示。奇安信威胁情报中心推特账号发布的 DGA 域名解码推文被多个国外安全厂商在文章中引用11 10 全球高级持续性威胁（AP T）2020 年度报告邮箱：ti_ 电话：4009-303-120 官网：西方安全界普遍认为，本次事件的幕后攻击者是著名的 APT29。著名俄罗斯安全厂商卡巴斯基也发布报告称， SolarWinds 事件中的 SUNBURST 恶意软件代码与 Turla 组织使用的 Kazuar 木马存在代码相关性。除了核心后门代码外， SolarWinds 供应链攻击事件中实际上还涉及另一个后门代码，该后门是一个 Webshell，被命名为 SUPERNOVA。该攻击的幕后攻击者目前被认为与 SUNBURST 的幕后攻击者来源不同。第二章针对不同行业的高级持续性威胁 / 全球高级持续性威胁（AP T）2020 年度报告三、互联网行业 2020 年，某些互联网行业企业也被 APT 组织盯上，成为了被攻击的目标。四、半导体行业半导体行业由于其技术高新性，并且产业极具供应链属性（上游制造半导体设备与材料，中游进行芯片设计，下游进行晶圆代工和封装测试），若其中运作的一环受到网络攻击，那么全球的半导体供应链将受到影响。2020 年，全球多家芯片公司和晶圆代工厂遭受高级威胁攻击导致停产，数据泄露严重。晶圆代工类：晶圆代工厂龙头 X-FAB 被定向性勒索攻击，系统加密导致停产。以色列晶圆代工商高塔（TowerJazz）半导体遭受 APT 攻击，服务器和制造部门停止运转。芯片行业：英特尔公司 20GB 芯片数据泄露，内含机密文件以及设计图。半导体厂商：台湾多家半导体厂商被 APT 组织攻击，这些组织的目的是窃取有关集成电路芯片、软件开发工具包、集成电路设计、源代码等。韩国半导体知名企业 SK 海力士遭受定向性勒索软件攻击，数据遭泄露。从这几起事件可以看出，2020 年针对半导体行业的 APT 攻击，不仅仅局限于窃取技术资产，敛财也是其重要目的。 2020 年，多个推特名人大 V 账户遭黑客攻击，发送比特币诈骗信息，事后复盘发现黑客通过客服渠道作为入口进行社会工程学攻击。相关活动虽然不是知名 APT 组织所为，但其攻击过程也具有明显的高级性和持续性。除了网络社区本身存在漏洞问题而被入侵外，有多个 APT 组织在 2020 年频繁使用某知名招聘社区平台进行钓鱼攻击。例如，Lazarus 组织通过在某全球知名招聘社区注册账号，伪造成攻击目标希望应聘公司的员工，再通过平台渠道发送带有恶意代码的表格让目标点击填写。 WhatsApp、iMessage 的 0day 漏洞被网络军火商 NSO Group 进行售卖，中东地区国家情报机构使用这些漏洞进行攻击和监控。以 Lazarus 组织为例，由于 WhatsApp 仅需手机号码即可添加好友，当该组织黑客在招聘社区平台上获取到其计划诱骗目标的手机号后，会通过该 App 作为通信入口进行交谈，并在交谈过程中发送恶意软件。（一）网络社区（二）即时通信12 全球高级持续性威胁（AP T）2020 年度报告第三章不同地区活跃的高级攻击组织 / 全球高级持续性威胁（AP T）2020 年度报告第三章不同地区活跃的高级攻击组织地域分析是 APT 研究的重要方面。一方面，同一地域范围的 APT 组织和 APT 活动常常出现一些重叠，其可能针对相似的攻击目标或者使用类似的 TTP；另一方面，同一地区发生的很多 APT 活动，都与地缘政治因素密切相关，这对于分析 APT 活动的意图和动机很有帮助。图 3.1 列举了 2020 年全球各地区主要活跃的 APT 组织，全球主要 APT 组织列表也可以参见附录 1。图 3.1 全球 APT 组织分布情况东亚地区的组织与行动 East Asia 第三章不同地区活跃的高级攻击组织 / 全球高级持续性威胁（AP T）2020 年度报告 2020 年被公开披露最多的三个东亚地区活跃的 APT 组织为 Lazarus、Kimsuky 和 Darkhotel。其中， Lazarus 一直作为东亚地区最为活跃的 APT 组织，其目标是全球性的，攻击行业也涉及极广。Kimsuky 组织则更专注于政府相关部门，多次以美国大选为诱饵开展攻击。表 3.1 所示为东亚地区主要活跃 APT 组织简介。东亚 APT 组织攻击能力 Laz arusGr oup Gr oup123/AP T37 Kimsuky Darkho t el 毒云藤蓝宝菇 + + + + +15 14 全球高级持续性威胁（AP T）2020 年度报告邮箱：ti_ 电话：4009-303-120 官网：第三章不同地区活跃的高级攻击组织 / 全球高级持续性威胁（AP T）2020 年度报告表 3.1 东亚活跃 APT 组织简介 APT 组织：Lazarus Lazarus 一直被认为是一个来自东亚地区的具有东亚某国政府背景的 APT 组织，同时也一直被安全厂商作为疑似该国 APT 活动归属总称。某些国外安全厂商也将其该组织针对金融、银行行业的攻击归属作为一个子组织来跟踪。 2020 年，该组织仍旧针对全球性的金融、银行、数字货币、政府等行业开展攻击活动。针对数字货币的攻击尤为明显，其多次通过制造虚假的交易场所网站分发恶意代码。同时，据公开情报透露，常年针对数字货币的“危险密码”组织也与 Lazarus 存在关联。 2020 年，Lazarus 组织被披露通过多个知名社交媒体，创建多个虚假账号组成社交圈，以此伪装为波音等著名航空航天等军工单位人员，对相关领域专业人士发送附有恶意代码的招聘信息。奇安信威胁情报中心整理了部分 Lazarus 组织利用招聘信息的诱饵文档如图 3.2 所示。 2013 2018 2014 2016 2016 Kimsuky 毒云藤 Lazarus Darkhotel Group123 最早活动时间：2013 公开披露时间：2013 最早活动时间：2007 公开披露时间：2018 最早活动时间：2009 公开披露时间：2016 最早活动时间：2004 公开披露时间：2014 最早活动时间：2012 公开披露时间：2016 该组织致力于以韩国智库、工业、核电运营商和统一部为间谍活动目标，并且与 Group 123 组织存在一定关联毒云藤是在 2018 年被奇安信公开披露的 APT 组织，该组织长期针对国内国防、政府、科技和教育领域的重要机构实施网络间谍攻击活动，最早的活动可以追溯到 2007 年该组织最早的攻击活动可以追溯到2 0 0 9年，包括针对韩国的 DarkSeoul,2014 年针对 SONY 事件。近几年来，该组织主要针对全球银行、加密货币等目标开展攻击活动 2014 年披露的攻击组织，擅长利用浏览器的 0day 和 Nday 漏洞开展攻击活动。最早活跃于 2004 年 Group 123 主要针对韩国的公共和私营部门。2017 年，其目标范围扩展到了朝鲜半岛以外的地区，包括日本、越南和中东，并扩展到了更广泛的行业垂直领域，包括化工、电子、航空航天、汽车和医疗保健实体攻击工具名称 MATA BISTROMATH SLICKSHOES CROWDEDFLOUNDER HOTCROISSANT ARTFULPIE BUFFETLINE 功能说明针对 Windows、macOS、Liunx 三个平台的攻击框架一款全功能 RAT 通常作为 Loader 或者 Dropper 程序内存驻留 RAT 植入程序，网络流量利用 XOR 加密通过获取和注入 DLL 载荷植入程序，使用 RC4 编码和 PolarSSL 混淆网络通信图 3.2 Lazarus 组织发布的招聘诱饵文档表 3.2 2020 年度 Lazarus 新增网络武器库 APT 组织：Group123 Group123 作为另一个东亚老牌 APT 组织，2020 年度被披露活动较少。而与 Group123 具有相同背景归属的 Kimsuky、Konni 开始活动频繁。Kimsuky 组织擅长利用政治热点新闻作为诱饵开展攻击活动。 Lazarus 组织在 2020 年被发现开始采用信用卡钓鱼、勒索软件、供应链攻击等新型攻击方式。作为最老牌且活跃的 APT 组织之一，除了更新其攻击手法以外，该组织攻击工具集也保持了频繁开发与更新。表 3.2 列举了 2020 年度 Lazarus 被披露的新增网络武器库17 16 全球高级持续性威胁（AP T）2020 年度报告邮箱：ti_ 电话：4009-303-120 官网：例如，在美国大选期间，多次以投票预测、拜登政策相关大选信息为诱饵开展攻击。同时，据韩国安全公司发现，Konni 组织与 Kimsuky 存在基础设施重叠。第三章不同地区活跃的高级攻击组织 / 全球高级持续性威胁（AP T）2020 年度报告 APT 组织：Darkhotel Darkhotel 是东亚地区另一个活跃的 APT 组织，其长期针对包括中国在内的多个东亚国家实施攻击行动，擅长利用 0day 和 1day 漏洞实施攻击。该组织 2020 上半年多次被监测到针对我国境内目标实施攻击，其中主要包括利用了两个浏览器 0day 漏洞（CVE-2020-0674、CVE-2019-17026）针对我国政府机构实施 APT 攻击，以及利用国内某知名安全公司 VPN 漏洞针对境内多个机构实施 APT 攻击活动。奇安信威胁情报中心列举了东亚地区 2020 年热点攻击活动，如表 3.5 所示。 2020/02/11 披露来源：360 APT 组织：Darkhotel 使用“双星”0Day 漏洞（CVE-2019-17026、 CVE-2020-0674）针对中国的攻击活动 2020/11/16 披露来源：ESET APT 组织：Lazarus 目标地域：韩国攻击方式：供应链攻击 2020/04/30 披露来源：奇安信 APT 组织：Lazarus 伪装热点：波音公司招聘 2020/05/13 披露来源：ESET APT 组织：Darkhotel 目标环境：隔离网络使用框架：Ramsay 2020/08/13 披露来源：Clearsky APT 组织：Lazarus 伪装热点：招聘目标行业：航空，军事 2020/02/28 披露来源：ESTsecurity APT 组织：Kimsuky 利用新冠肺炎为诱饵的攻击 2020/11/04 披露来源：奇安信 APT 组织：Kimsuky 伪装热点：美国大选预测目标地域：韩国 2020/04/10 披露来源：ESTsecurity APT 组织：Kimsuky 伪装热点：国民议会议员选举 2020/06/17 披露来源：ESET APT 组织：Lazarus 目标行业：航空，军事 2020/07/20 披露来源：微步在线 APT 组织：Lazarus 目标平台：macOS 目标行业：数字货币 2020/02/06 披露来源：ESTsecurity APT 组织：Kimsuky 利用居民登记卡为诱饵的攻击活动 2020/09/27 披露来源：360 APT 组织：Lazarus 目标行业：数字货币 2020/04/14 披露来源：奇安信 APT 组织：Lazarus 伪装热点：仁川广域市紧急调查冠状病毒 2020/05/27 披露来源：ESTsecurity APT 组织：Lazarus 目标地域：韩国目标行业：证券 2020/07/22 披露来源：卡巴斯基 APT 组织：Lazarus 目标平台：macOS、 Linux、Windows 2020/03/03 披露来源：ESTsecurity APT 组织：Kimsuky 伪装热点：美国国务卿来信 2020/11/13 披露来源：微软 APT 组织：Lazarus 目标行业：新冠疫苗研发机构 2020/04/06 披露来源：360 APT 组织：Darkhotel 攻击入口：VPN 漏洞目标地域：中国 2020/12/17 披露来源：ESTsecurity APT 组织：Kimsuky 伪装热点：区块链公司欠款确认书 2020/06/19 披露来源：ESTsecurity APT 组织：Kimsuky 伪装热点：蓝宫 2020/07/06 披露来源：Sansec APT 组织：Lazarus 攻击手法：信用卡钓鱼表 3.3 2020 年东亚地区热点攻击活动图 3.3 血茜草活动常用攻击手法血茜草钓鱼网站军事传媒智库军民融合产业园猎头公司高等教育和科研伪造身份伪造身份以酬劳为由进行钓鱼活动以酬劳为由进行钓鱼活动批量钓鱼网站制作 2020 年，奇安信威胁情报中心命名了一个新的华语 APT 组织活动：血茜草活动，该活动由毒云藤发起，此次攻击活动趋向渔网化，通过批量与定向投方相结合，采取信息探测的方式辅助下一步的定点攻击。主要分为三种攻击类型：钓鱼网站钓鱼、诱饵引诱钓鱼和恶意附件式钓鱼攻击，根据我们观察，血茜草活动中伪装了多个具备鲜明特色的角色，如智库类目标、军民融合产业园、军事杂志、公务员类猎头公司等等。如图 3.6 展示了血茜草活动中常用的攻击手法。血茜草活动19 邮箱：ti_ 电话：4009-303-120 官网：第三章不同地区活跃的高级攻击组织 / 全球高级持续性威胁（AP T）2020 年度报告海莲花组织依然是在东南亚地区最为活跃的 APT 组织，其在 2020 年依然保持较高的活动频率。该组织已经由过去的网络间谍活动延伸至商业情报窃取领域，如互联网行业。并首次发现了该组织开始在受害者计算机中部署挖矿程序。 APT 组织：海莲花海莲花组织在 2020 年全年持续不断地针对我国各行各业重点单位进行攻击，攻击单位不局限于政府部委、国防、海事等单位，还有一些大型互联网公司也惨遭毒手。从 2020 年年初疫情爆发开始，海莲花就开始针对我国医疗行业单位进行邮件投递攻击，制造带有探针

展开阅读全文