2021年度高级威胁态势研究报告-38页_31mb.pdf

高级威胁态势研究报告安恒威胁情报中心猎影实验室科创板：688023杭州安恒信息技术股份有限公司DBAPPSecurity Co., Ltd.官网：电邮：客服专线：+86-400-6059-110地址：杭州市滨江区西兴街道联慧街188号安恒大厦座机：0571-88380999/28860999传真：0571-28863666杭州总部科创板：688023安恒信息 V.20220113宣传品安恒信息官方微信杭州2022年第19届亚运会官方网络安全服务合作伙伴Make security more intelligent Make intelligence more secure前 言回顾2021，全球疫情持续蔓延，世界局势错综复杂，国际格局向多极化加速演变，国家之间的网络安全博弈基于地缘政治因势而变。随着疫情冲击，远程办公逐渐日常化，给国家背景的黑客组织和灰黑产行业创造了更多机会，软件供应链、工业互联网、移动设备的危机逐渐凸显，网络安全形势更加严峻。安恒威胁情报中心研究分析了2021年全球发现和披露的高级威胁事件、灰黑产行业的主要团伙以及2021在野0day的披露情况，得到了以下发现：1.根据2021年对全球高级威胁攻击事件的统计，来自东亚地区的Lazarus组织、Kimsuky组织以及来自东欧的APT29组织的攻击数量位列前三，这几个组织的攻击受地缘政治因素影响，体现出高度针对性和复杂性。此外，来自印度Bitter组织的攻击事件占比排名第七，该组织在2021年多次针对我国军工行业发起定向攻击。2.从受害者的国家分布分析，韩国、美国遭到的攻击占比最高，比重分别为11.67%、10.55%。APT组织正尝试扩大攻击范围，因此出现了一些新的受害国家。从受害者的行业分布来看，与2020年相同，政府部门、国防部门和金融行业仍是APT组织的主要攻击目标，总占比达到27.59%。3.根据地域分布的APT组织活动具有以下特点：南亚地区的APT组织2021年整体处于较为活跃的状态，且主要围绕着地缘政治冲突展开；越南国家背景的海莲花组织是东南亚地区最主要的APT威胁；东亚地区的APT组织数量较多，其中朝鲜背景的Lazarus和Kimsuky组织最为活跃；中东地区APT组织主要针对政府、国防、学术等行业；东欧地区APT 组织的攻击活动主要以中东、欧洲以及北美地区作为主要目标。4.2021年，灰黑产行业高速发展，其中以勒索软件团伙和间谍软件供应商最为突出。上半年发生多起针对关键基础设施的勒索攻击，给全球实体造成了巨大的经济损失。此外，间谍软件攻击体现出高复杂性、难追溯性等特点，成为当今最危险的网络威胁之一。5.2021年披露的在野0day数量达到58个。按漏洞类型划分，占比最多的是远程代码执行漏洞，其次是权限提升漏洞，分别占比57%和35%。基于2021网络态势的特点，我们得出对于2022攻击态势的预测。由于医学研究和工业部门为国家发展的基础部门，且具有高价值情报，因此将成为攻击组织的重点目标；APT组织和勒索团伙正积极发展供应链攻击能力，因此预计软件供应链攻击也将在2022年变得更频繁、更具破坏性；此外，随着数据泄露事件频繁出现，攻击者将利用获取的敏感信息进一步发起更具针对性的攻击。根据对2021全年攻击事件的检测和分析，安恒威胁情报中心发布2021年度高级威胁态势研究报告，基于高级威胁攻击、攻击团伙活动、重大攻击事件、在野0day利用情况四方面进行分析总结，并提供了对2022攻击态势的七点研判预测。目 录01020506141519222728293132333535363738384041前言高级威胁篇APT组织整体攻击情况地域组织攻击活动情况南 亚东南亚东 亚中 东东 欧攻击团伙活动篇勒索软件团伙ContiLockBit 2.0HiveBlackMatter间谍软件供应商NSOCandiruCytrox新披露组织Void BalaurAgriusMoses Staff4243444446484950535354555658596060616263646565666767682021年重大网络攻击事件回顾Solarwinds软件供应链攻击事件黑客入侵佛罗里达水厂系统投毒事件DarkSide组织攻击美国输油管道运营商事件Revil组织利用Kaseya产品漏洞发起大规模供应链勒索攻击Lazarus组织持续针对安全研究人员Log4j漏洞事件2021在野0day总结重点事件蔓灵花组织首次使用0day朝鲜APT组织使用社会工程学和浏览器0day攻击安全研究人员多个Exchange 0day横空出世Chrome 0day数量连续第二年大幅增加Windows提权0day数量较往年翻倍苹果产品的0day数量爆发式增长IE 0day数量依然较多，与Office结合更为深入AdobeReader 0day重现江湖2022年在野0day趋势预测2022年攻击态势研判预测医学研究将持续成为威胁攻击者的目标ICS工业环境面临的威胁将持续增长可能会出现更多的软件供应链攻击雇佣间谍软件服务将更加流行垃圾邮件活动将更具针对性勒索软件将继续主导威胁格局针对移动设备的攻击或会增加总结高级威胁篇- 01 - - 02 -根据威胁情报中心的监测情况来看，2021年发生了约201起APT攻击事件。从披露报告的统计来看，今年APT组织活动主要集中在南亚和中东，其次是东亚地区，东南亚地区的APT组织攻击有所放缓。另外，来自东欧的APT29组织今年非常活跃，该组织有着是俄罗斯国家背景，同时被美国白宫认为是SolarWinds攻击事件的始作俑者，自事件发生后该组织仍在活跃，并持续针对各行业进行网络间谍活动。APT组织整体攻击情况2021年的APT攻击事件组织分布统计高级威胁篇高级威胁篇Konni 1.00%Agrius 1.00%Patchwork 1.00%OilRig 1.00%APT-C-27 1.00%TA428 1.00%Lyceum 1.00%APT-C-36 1.00%APT32 1.49%Confucius 1.49%Turla 1.49%MuddyWater 1.49%UNC1151 1.49%Lazarus 1.49%StrongPity 1.49%Charming Kitten 1.49%SideWinder 1.49%APT28 1.99%APT37 1.99%Gamaredon 2.49%SideCopy 2.49%APT-C-23 2.99%Bitter 3.48%未命名 3.98%Donot 4.48%Transparent Tribe 4.98%APT29 4.98%Kimsuky 8.46%Lazarus 12.44%其他 23.88%高级威胁篇- 03 - - 04 -根据行业分布来看，政府部门和国防部门仍是其主要的针对目标，其次是金融、航空，以及医疗卫生部门。2021年APT攻击受害行业分布图根据攻击事件中的受害地区分布来看，出现了一些新的受害地区，例如阿富汗、哥伦比亚、格鲁吉亚、拉脱维亚等国家。这可能表示APT组织正尝试扩大其活动范围。2021年APT攻击受害国家分布图黎巴嫩 1.11%斯里兰卡 1.11%沙特阿拉伯 1.11%南非 1.11%泰国 1.11%科威特 1.11%叙利亚 1.11%拉脱维亚 1.11%意大利 1.11%波兰 1.11%英国 1.11%中东 1.11%格鲁吉亚 1.11%巴勒斯坦 1.67%德国 1.67%哥伦比亚 1.67%阿联酋 1.67%立陶宛 1.67%法国 1.67%阿塞拜疆 1.67%阿富汗 1.67%伊朗 2.22%日本 2.22%以色列 5.56%乌克兰 5.56%中国 5.56%韩国 11.67%美国 10.56%其他 8.33%印度 8.33%巴基斯坦 6.11%俄罗斯 6.11%电子商务 0.25%公用事业 0.25%政治组织 0.25%核设施 0.25%旅游业 0.49%物联网IOT 0.49%食品和农业 0.49%制造业 0.49%科技公司 0.99%教育 0.99%教育科研 0.99%学术 1.48%媒体行业 1.72%交通运输 1.97%IT行业 2.46%通信 2.71%能源 3.69%医疗卫生 3.69%航空行业 4.43%金融 5.91%国防 6.16%政府部门 15.52%其他 41.63%科研 1.48%外交 1.23%高级威胁篇- 05 - - 06 -南亚地区的APT组织2021年整体处于较为活跃的状态。与往年的情况相似，该地区的APT活动主要围绕着地缘政治冲突展开。该地区的组织主要有来自印度的Sidewinder、Donot、Confucius、Bitter等，和来自巴基斯坦的透明部落、sidecopy等。Donot组织利用RTF模板注入针对周边地区的攻击活动蔓灵花组织对国内相关单位发起定向攻击2021.03透明部落组织利用疫情时事对印度医疗行业进行定向攻击2021.04透明部落组织通过伪造的网站分发ObliqueRAT，扩大攻击目标2021.05SideWinder武器库更新：利用外交政策针对巴基斯坦的攻击2021.06Bitter组织针对我国军工、贸易和能源等领域的攻击活动SideCopy组织以印度政府和军方为目标的攻击活动Donot以阿富汗撤军主题针对军事人员的攻击活动Snow leopard组织针对巴基斯坦用户的监控活动2021.07APT-C-48组织对航天相关领域的攻击透明部落组织利用印度国防部会议记录为诱饵进行攻击活动2021.08Sidecopy针对印度国防官员的APT攻击活动SideWinder组织针对巴基斯坦海军的攻击活动2021.09Patchwork伪装巴基斯坦联邦税务局的鱼叉攻击活动Bitter组织以各类通知诱饵针对国内军工行业的攻击活动2021.10Donot组织使用最新域名资产进行攻击活动Sidecopy组织以军事题材针对印度发起攻击2021.11Confucius组织使用Android间谍软件监视印巴军事相关人员2021.02Patchwork以中巴合作为主题诱饵攻击中国机构Bitter伪造研究讨论学会邀请信攻击我国研究南亚关系的学者2021.01南 亚东南亚地区的APT活动在今年有所减少。而东亚地区的APT活动在今年持续活跃，尤其是Lazarus组织，该组织除了常规的间谍活动外，还针对加密货币交易所及安全研究人员进行定向攻击。中东地区由于其复杂的地缘政治问题，该地区的APT活动一直处于活跃状态，在阿富汗国家被塔利班占领后，该地区的APT活动有所增加。中东地区的间谍活动所使用的有效负载也从之前的Windows客户端慢慢过渡到Android移动端，其披露的很大部分攻击都是来自移动平台。南亚地区在APT攻击中所使用的诱饵文件通常与新冠疫情相关，这可能与南亚部分地区严重感染新冠疫情有关，该地区的APT活动比较明显的变化是其背后支持者对间谍活动加大资源投入，使其攻击能力得到明显提升，其中一个例子就是Bitter组织配备0day漏洞。东欧地区的间谍活动主要聚焦在APT29，该组织是SolarWinds事件的幕后黑手，即使被美国制裁后该组织仍处于高度活跃状态，并在后续进行了多起攻击事件。下面将介绍各地区下的APT组织在2021年的主要活动情况。地域组织攻击活动情况高级威胁篇- 07 - - 08 -Sidecopy组织主要活动于南亚地区，被检测到的最早活动时间是2019年初。为对抗来自印度的Sidewinder组织而出现，在早期的活动中的TTP模拟自Sidewinder，因此该行动得名Sidecopy。该组织自披露起就非常活跃，随着活动次数的增多，2021年7月，Cisco Talos厂商将此攻击者作为独立组织对其后续的活动进行跟踪，命名延用了最早的行动名，称之为Sidecopy组织。作为南亚地区今年活跃攻击者俱乐部的新成员，刚“出道”时的sidecopy还需要模仿sidewinder的TTP进行攻击，今年的Sidecoy展露成熟的攻击手段，掌握了大量自研或是开源改造的武器。Sidecopy 组织对于攻击目标的关注事件敏感性很高，并且能够将这类媒体热点结合在攻击活动中，左图为该组织在攻击印度国家军校学生团和印度国家教育研究与培训委员会时所使用的诱饵文件。2021年11月，安恒威胁情报中心捕获到一起以印度军官的服役记录为主题的恶意攻击。攻击者在恶意代码内将代码的执行时区固定在印度标准时区，攻击目标指向印度军方的攻击。在样本运行后，会从网络下载伪装文件，文件的内容为印度军官的服役记录。同时下载数据文件到本地解密后执行，最终加载后门文件。目前尚未捕获到该组织针对国内的攻击行为。Sidecopy肚脑虫主要针对巴基斯坦和克什米尔地区等南亚地区国家进行网络间谍活动。动机主要以窃密为主。该组织具备针对Windows与Android双平台的攻击能力，其主要使用yty和EHDevel等恶意软件框架。肚脑虫的攻击活动最早被披露于2016年4月，该组织在2021年仍持续活跃。3月份，研究人员发现Donot APT组织近期攻击频繁。其利用恶意RTF模板注入以及公式编辑漏洞利用样本对周边国家地区开展了多次攻击活动。当样本运行后，将尝试从远程模板获取文件加载执行，当带有公式编辑器漏洞的远程模板加载利用成功后，将经过多层解密下载执行恶意载荷。2021年7月，安恒威胁情报中心猎影实验室捕获到多个Donot APT组织攻击活动样本。该批样本保持了Donot组织一段时间以来的攻击作战风格，通过向目标群体发送带有远程模板注入的rtf文档或者包含恶意宏代码的诱饵文档实行网络攻击。通过诱饵文档所使用的“美国和北约从阿富汗撤军的影响”、“采购政策修订”等名称标题。Donot2021/7SideCopy APT组织以印度政府和军方为目标的攻击活动2021/10SideCopy组织在针对印度政府机构的攻击中使用CetaRAT2021/11疑似Sidecopy组织以军事题材针对印度发起攻击2021/12SideCopy使用多个以印度国防参谋长坠机事件为诱饵的攻击文档2021/3疑似Donot组织利用RTF模板注入针对周边地区的攻击活动分析2021/7Donot APT组织针对军事人员的攻击活动分析2021/10印度公司与Donot组织针对多哥活动家的攻击活动相关联2021/11Donot组织窃密手法再升级2021/11疑似Donot APT组织使用最新域名资产进行攻击活动分析9100c65e4ed1ccf2fd148a70ff21c97fOps Afg post 9-11.docAmmended Procurement Policy.xls（修订采购政策.doc）Impact of US and NATO Withdrawalfrom Afghanistan.doc（美国和北约从阿富汗撤军的影响.doc）RTF远程模板注入样本名称 MD5 攻击方式9fae1aa8db790fac114359c34425a727 RTF远程模板注入9407a3f116d93ff51a2cec8b580b6e30 XLS恶意宏代码执行高级威胁篇- 09 - - 10 -“蔓灵花”又名“BITTER”，是一个具有印度背景的APT组织，其长期针对中国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击并窃取敏感资料，具有较强的政治背景，是目前针对境内目标进行攻击的活跃APT组织之一。蔓灵花的攻击活动最早可追溯到2013年，并从2016年开始出现了针对我国国内的攻击活动。2021年2月10日，安恒威胁情报中心发现了Bitter组织在攻击中使用WINDOWS内核提权0day漏洞（CVE-2021-1732），当时卡巴斯基的研究人员发现了相同攻击者使用的另外一个0day漏洞（CVE-2021-28310），并在2月份上报给微软。微软在4月份的安全更新中发布了针对此漏洞的修复补丁。CVE-2021-1732漏洞等级为高危，该漏洞是由于标志位设置不同步导致的越界读写漏洞，攻击者可利用该漏洞在获得权限的情况下，构造恶意数据执行本地权限提升攻击，最终获取服务器最高权限。官方将该漏洞命名为Win32k本地权限提升漏洞。受该漏洞影响的Windows版本如下：Windows 10 Version 1803, 1809, 1909, 2004, 20H2Windows Server 2019Windows Server version 1909, 2004, 20H2Bitter2021/1蔓灵花组织（APT-C-08）使用Warzone RAT的攻击活动披露2021/10BITTER APT组织近期针对军工行业的攻击活动2021/2首次发现蔓灵花组织在针对国内的攻击活动中使用WINDOWS内核提权0DAY漏洞（CVE-2021-1732）2021/3蔓灵花使用恶意CHM文件进行定向攻击2021/7Bitter APT组织针对我国军工、贸易和能源等领域的攻击活动2021/4研究人员发现Bitter组织在野使用的0-day漏洞(CVE-2021-28310)肚脑虫今年的攻击方式在整体上没有变动，但攻击手法与反溯源手段在不断进化，例如该组织前期使用诱饵文档加通用下载器的组合进行攻击，而RAT远控等比较重要的定制化武器工具则存放在云端服务器。初始攻击得逞且实现持久化后，可以选择关闭云端服务器，哪怕诱饵文档与下载器暴露，也很难进一步获得后续载荷。2021年9月份，国外研究机构的一项新调查发现，多哥（西非国家）的活动家成为Donot组织的攻击目标，该组织使用虚假的Android应用程序针对著名的多哥活动家，这是该组织首次在南亚地区外使用间谍软件的攻击示例。研究人员在调查中将本次攻击所使用到的间谍软件和基础设施，与印度网络安全公司Innefu Labs关联了起来。使用的诱饵文档证据表明Innefu Labs与这些攻击中使用的Donot Team基础设施有关。尤其是在bulk.fun攻击服务器日志中出现的Innefu Labs IP地址，并在测试间谍软件截图中再次与bulk.fun域并列显示。此外，使用带有印度电话号码的WhatsApp帐户发送间谍软件表明，攻击者位于印度。2021/11印度APT组织蔓灵花针对巴基斯坦政府机构展开定向攻击高级威胁篇- 11 - - 12 -SideWinder组织又名响尾蛇，是一个具有印度政府背景的APT组织。该组织长期针对中国和巴基斯坦等国家的政府、能源、军事、矿产等领域进行敏感信息窃取和攻击活动。响尾蛇的最早活动可追溯到 2012 年针对巴基斯坦政府部门的攻击。近几年，该组织也开始针对国内特定目标进行攻击，如驻华大使馆和其他政府部门。今年3月，研究人员捕获到几例该组织利用相关国家外交政策为诱饵的恶意样本。这些样本伪装成大使馆向巴基斯坦委员会的投资回信、建立港口防疫能力等热点信息开展攻击，其中两例诱饵文档如下：通过多阶段，并在最后通过白加黑的方式加载最终的远程木马，控制受害者机器，从而窃取敏感信息。在9月份也捕获到了Sidewinder发起了针对巴基斯坦海军招募中心的攻击活动，通过鱼叉式网络钓鱼邮件投递恶意附件，使用了与以往活动稍有不同的DLL侧加载技术。他们利用合法的control.exe可执行文件加载一个恶意的DLL。最终在受害者主机中植入SideWinder在过往攻击活动中使用的RAT以完成命令执行和数据窃取。今年Sidewinder攻击活动中使用的的武器并无太多变化，不过在获取后期载荷内容过程中需要预先上传失陷机的一些信息才能够回传数据，在后续分析过程中。Sidewinder3月份，研究人员发现蔓灵花APT组织开始通过邮箱投递包含有恶意脚本Chm文件的RAR压缩包，对国内外相关单位发起定向攻击，经过遥测，发现此类的攻击行动已经持续两年。7月份，研究人员发现一批针对我国军工、贸易和能源等领域的网络攻击活动。攻击手法存在伪造身份向目标 发送鱼叉邮件，投递包含恶意CHM文件（如主题为“会议议程”等）的附件诱导受害者运行。属于Bitter组织在2021年上半年的典型攻击模式。10月份，BITTER在攻击活动中，又以军事、能源、财务等为主题，通过向受害者发送钓鱼邮件，诱使受害者打开包含恶意CHM或RTF的RAR压缩包附件，执行内置的恶意脚本，释放其常用的远控程序。蔓灵花又会伪装重点单位的网页页面进行钓鱼攻击，目的是窃取目标的账户密码信息，进而获得更多重要信息。高级威胁篇- 13 - - 14 -海莲花组织利用间谍软件攻击越南权利捍卫者2021.03发现疑似属于海莲花组织的Linux后门程序RotaJakiro2021.05海莲花组织近期攻击手法逐渐从钓鱼邮件转向渗透与漏洞攻击2021.082021年，拥有越南国家背景的海莲花（APT32、OceanLotus）组织，依然是东南亚地区最主要的APT威胁。东南亚“白象”又名“Patchwork”，“摩诃草”，具有印度背景。该组织最早由Norman安全公司于2013年曝光，随后相继有其他安全厂商持续追踪并披露该组织的最新活动，但该组织并未因相关攻击行动的曝光而停止对目标的攻击。白象APT组织一直以来主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动，其中以窃取敏感信息为主。相关攻击活动最早可以追溯到2009年11月，至今仍非常活跃。1月份Patchwork使用一套自定义的攻击工具，攻击通常是通过鱼叉式网络钓鱼活动或水坑攻击进行的。该组织背后的归属疑似是说印度语的国家，该组织还针对在巴基斯坦，斯里兰卡，乌拉圭，孟加拉国，中国台湾，澳大利亚和美国的外国使馆和外交机构。在2018年初，研究人员发现，Patchwork APT组织还针对美国的智囊团开展了鱼叉式网络钓鱼活动。2021年1月，研究人员观察到针对中国的网络钓鱼攻击，文档名称为“Chinese_Pakistani_fighter_plan es_play_war_games.docx”。发现该攻击使用了长期未使用的漏洞和社会工程活动之类的技术。下图展示了带有CVE-2019-0808漏洞利用代码恶意文档，该漏洞利用代码可以在受害者机器上释放并执行有效载荷。今年研究人员披露Patchwork组织运用社会工程学，针对中国和巴基斯坦、阿富汗等印度周边国家的政府、军队以及国企单位的钓鱼攻击活动。这些攻击活动基本都是以、netlify.app、等第三方PaaS(平台即服务)平台来放置钓鱼网页，且仿造程度非常高，令受害者难以区分。Patchwork海莲花（OceanLotus）是一个具有越南国家背景的境外APT组织。该组织活动轨迹最早可追溯到2012年，主要针对越南国内权力捍卫者、我国和其它东南亚国家地区的政府单位、海事机构、海域建设部门、科研院所和航运企业等目标。由于攻击手法演变等原因，该组织在2021年被披露的攻击活动数量较以往明显减少，通过分析发现该组织正逐渐从最初的钓鱼邮件攻击转向对高价值目标进行渗透。渗透成功后会基于前期获取到的用户基本信息对后门程序进行加密处理，经过处理后的恶意程序只有在目标系统上才能正常解密执行。例如安恒威胁情报中心捕获到的多个此类型样本，必须使用目标设备上的网卡地址才能正确解密（左）：此外，从2018年2月到2021年11月之间，该组织还通过间谍软件针对越南非盈利组织的权利捍卫者（HRD）发起长达数年的监视和攻击活动。（右）OceanLotus高级威胁篇- 15 - - 16 -Lazarus被认为是一个来自朝鲜的APT组织，与该组织相关的攻击活动最早可以追溯到2007年。其主要目标包括国防、政府、金融、能源等，早期主要以窃取情报为目的，自2014年进行业务扩张后，将攻击目标拓展到了金融机构、虚拟货币交易所等具有较高经济价值的对象。资料显示，2014年索尼影业遭黑客攻击事件、2016年孟加拉国银行数据泄露事件、2017年美国国防承包商和能源部门、同年英韩等国比特币交易所攻击事件等皆被认为与该组织有关。2021年该组织除了进行常规间谍攻击和金融犯罪外，还将攻击目标瞄准了全球的安全研究员。今年1月谷歌公司在博客中披露了Lazarus组织专门针对从事漏洞研究人员的攻击活动。该组织通过在Twitter等社交媒体建立账号以获取安全研究员的信任，然后以交流学习等借口向研究员发送包含恶意代码的工程文件。除了包含恶意代码的工程文件，该组织疑似还在其个人博客中放置了一个包含win10提权功能的Chrome漏洞利用代码。今年11月，该组织又再次通过包含恶意代码组件的IDA Pro7.5安装包程序攻击二进制安全研究员。被修改过的安装包程序，在执行时会分别加载“idahelper.dll”和“win_fw.dll”恶意DLL文件。LazarusLazarus组织使用VSingle等恶意软件攻击日本相关目标APT37组织使用两个浏览器漏洞攻击韩国受害者2021.03Lazarus组织使用Vyveva新后门攻击南非货运公司Lazarus组织使用BTC Changer新工具窃取加密货币Lazarus组织通过在BMP图像中隐藏RAT的方式对目标进行钓鱼攻击研究人员揭露Lazarus组织针对制药公司的攻击细节2021.04Kimsuky组织利用韩国外交部为诱饵的攻击活动分析Lazarus组织利用大宇造船厂为相关诱饵的系列攻击活动分析Konni组织以“朝鲜局势”相关诱饵对俄进行定向攻击Lazarus组织被证实与CryptoCore加密货币窃取活动有关2021.05Kimsuky组织使用与微软产品相关诱饵针对韩国军工行业发起攻击Lazarus组织针对航空航天从业人员攻击活动分析Kimsuky组织利用blogspot博客分发恶意载荷攻击活动分析Kimsuky组织使用AppleSeed后门程序攻击韩国政府2021.07Lazarus组织近期针对区块链金融、能源行业攻击活动分析APT37组织使用Chinotto新型间谍软件攻击脱北者和韩国目标2021.09Kimsuky组织利用新冠疫情为诱饵针对韩国地区攻击活动2021.10Lazarus组织利用IDA Pro7.5安装包再次对安全研究员发起定向攻击活动Kimsuky组织利用商业软件Web Browser Password Viewer进行窃密攻击2021.11Lazarus组织使用ThreatNeedle恶意软件攻击国防工业目标2021.02Kimsuky组织以拜登政府调查问卷为诱饵的攻击活动分析Konni组织以朝鲜疫情物资话题为诱饵的攻击活动分析Lazarus组织利用Visual Studio编译器特性定向攻击二进制漏洞安全研究员2021.01东 亚东亚地区的APT威胁主要来自Lazarus、Kimsuky、Konni、Higaisa、DarkHotel、毒云藤等组织。其中以拥有朝鲜国家背景的Lazarus和Kimsuky组织最为活跃。高级威胁篇- 17 - - 18 -Kimsuky同样被广泛认为是一个拥有朝鲜国家背景的APT组织，该组织最早由卡巴斯基于2013年首次发现。其主要针对韩国政府、军工、新闻机构等相关目标进行攻击活动。随着时间的推移该组织也正逐步将美国等其它国家纳入攻击范围。2021年1月该组织利用包含“拜登政府就职规划调查”等内容的诱饵文档对韩国政府相关目标发起攻击。在2021年5月-7月的3个月里针对韩国的攻击活动达到了一个小高潮，该组织分别针对韩国外交部、政府部门、军工行业等目标发起攻击活动：KimsukyAPT37（ScarCruft、Group123、InkySquid、Temp.Reaper）是一个疑似来自朝鲜的网络间谍组织 ，至少从2012年开始就已经活跃，由卡巴斯基于2016年首次披露。该组织主要针对韩国，日本，越南，俄罗斯，尼泊尔，中国，印度，罗马尼亚，科威特和中东等国家或地区进行攻击。研究人员发现至少在2021年3月下旬至2021年6月上旬，APT37组织成功攻破韩国一家专门报道朝鲜相关资讯的媒体官网，并通过“CVE-2020-1380”和“CVE-2021-26411”浏览器漏洞攻击受害者。该组织将包含漏洞利用代码的字符串数据，混淆后伪装成合法的SVG内容用于实施攻击：2021年9月APT37组织又以盗取受害者Facebook账户与发送鱼叉钓鱼邮件的方式对朝鲜脱北者（叛逃人员）与一些活动家发起网络攻击。钓鱼邮件中包含了一个受密码保护的RAR压缩文档，邮件正文中提供了解压密码。解压后是一个名为“朝鲜最近的局势和我们的安全”的恶意宏文档。最终研究人员在受害者主机中发现了一款名为“Chinotto”的后门窃密程序。APT37韩国政府部门诱饵 韩国外交部诱饵 韩国军工诱饵高级威胁篇- 19 - - 20 -Charming Kitten（又名APT 35、TA453）是一个伊朗国家背景的APT组织，与伊斯兰革命卫队（IRGC）存在关联，在中东地区持续活跃，该组织最早的活动可追溯到2014年。主要针对能源、政府和技术部门的组织，这些组织都在沙特阿拉伯有业务基础，或在沙特阿拉伯有商业利益。在2020年末，Charming Kitten发起了凭据网络钓鱼活动，针对的目标是美国和以色列25名专门从事基因，神经病学和肿瘤学研究的高级医学人员，研究人员将这场活动命名为“BadBlood”。BadBlood活动表现出Charming Kitten对医学研究人员感兴趣，同时意味着Charming Kitten更改了攻击目标，这可能是一个短期内的变化，但也彰显出该组织对于收集目标情报优先级的转变。Charming Kitten还在2021年1月冒充英国学者，对中东地区的学术专家发起网络钓鱼攻击，意图秘密接近中东专家进行情报收集，研究人员将此次网络钓鱼活动命名为“Operation SpoofedScholars”。攻击目标包括资深智库人员、知名学术教授以及关注中东事务的记者，这些目标可能掌握有关伊朗的外交政策、核计划谈判信息。研究人员发现，此次攻击活动使用的战术和技术以及针对的对象符合伊斯兰革命卫队（IRGC）的情报收集目标。Charming KittenMuddy Water针对中东周边地区展开间谍活动TA453针对美国和以色列医学研究人员发起网络钓鱼攻击2021.03APT34组织以军队事务和移动运营商业务为话题发起定向攻击2021.06伊朗黑客组织Agrius对中东地区进行破坏活动2021.05伊朗Tortoiseshell组织攻击美国国防机构Charming Kitten APT组织针对中东学者进行网络钓鱼攻击TA456组织伪装成运动教练，针对美国国防承包商开展网络间谍活动StrongPity组织在攻击活动中首次部署 Android 恶意软件2021.07伊朗Siamesekitten组织针对以色列实体的攻击活动APT-C-27组织新增移动端攻击武器FlutterSpy2021.08Charming Kitten利用ProxyShell漏洞部署勒索软件2021.09MuddyWater针对阿联酋和科威特政府机构的网络间谍活动2021.01中 东2021年中东地区发生的APT攻击事件共计22起左右，主要活动范围为伊朗、以色列，及其周边地区，如阿联酋、黎巴嫩、科威特、叙利亚。活跃的APT组织包括Charming Kitten、OilRig、MuddyWater，针对的目标主要是与政府、国防、学术行业相关的人员及实体。OilRig（又名APT 34、TA452、ITG13）组织至少从2014年开始运营，于2016年被发现。OilRig针对主要针对中东地区的组织，以及该地区以外的其他中东组织，目标覆盖多个行业，包括政府、媒体、能源、交通、物流，以及技术服务供应商。该组织的行动与伊朗的战略利益保持一致，被评估为具有一定的伊朗政府背景。2021年4月，Checkpoint的研究人员发现OilRig组织的新攻击活动，该组织使用了一种被称为“SideTwist”的后门新变种来针对位于黎巴嫩的目标。该活动使用了与OilRig之前几个活动相同的初始入侵向量，通过一个包含恶意宏的诱骗性寻找工作文档来传播恶意软件，并通过宏代码中的DNS（域名系统）隧道执行有效负载并建立持久性。第二阶段有效载荷SideTwist此前从未出现过，SideTwist的功能（包括下载、上传和 shell 命令执行）相对简单，与该组织以往使用的其他后门（例如 DNSpionage 和 TONEDEAF）类似。自2019年OilRig工具泄漏发生以来，该组织在维持常用操作方式的同时，还重用旧技术，不断创建和更新工具，以最大程度地减少安全供应商检测到其工具。OilRig的攻击没有出现任何放缓的迹象，其一直利用网络攻击行动以达成其在中东的战略目标，并表现出持续关注黎巴嫩。OilRig（恶意宏代码片段，负责发送DNS查询）高级威胁篇- 21 - - 22 -APT29利用立陶宛的信息技术基础设施对疫苗开发商进行攻击德国联邦议院披露遭受俄罗斯Ghostwriter组织定向攻击2021.03美国正式将SolarWind攻击归咎于俄罗斯情报局极光行动：针对阿塞拜疆的新型攻击活动Gamaredon组织以时事主题作诱饵攻击乌克兰官方2021.04APT29组织以“美国联邦选举”为主题展开网络钓鱼活动NOBELIUM组织运营的大规模恶意电子邮件活动披露2021.05Nobelium组织再次活跃，微软客户支持工具中招疑似Hades组织以军事题材针对乌克兰发起攻击2021.06英美联合声明：GRU对全球多个机构进行网络攻击2021.07Nobelium组织新组件FoggyWeb、Tomiris披露Turla组织在攻击活动中使用了名为TinyTurla的新后门CloudFall组织针对中亚和东欧研究人员的攻击活动2021.09SaintBear组织针对乌克兰边防局和国防部的攻击活动APT29组织针对斯洛伐克等东欧各国政府的攻击活动2021.08ChamelGang组织利用漏洞攻击多国实体2021.10雇佣黑客组织Void Balaur披露，已窃取超过3500名受害者信息2021.11Sandworm组织利用Centreon监控工具监控多个法国公司2021.02Operation Kremlin：未知APT组织针对俄罗斯的攻击活动2021.01东 欧2021年东欧地区相对比较活跃的组织有APT28、APT29，SaintBear以及Gamaredon组织，其中SaintBear为今年新发现的组织。该地区的APT组织攻击活动主要以中东、欧洲以及北美地区作为主要目标，攻击范围包括各国军政机构及重点行业。MuddyWater（又名Static Kitten、TA450）是伊朗的APT组织，主要针对中东、欧洲和北美地区，目标主要是政府、电信和石油部门，具有强烈的政治目的。该组织针对多个国家的多个行业开展网络攻击活动，并与2021年 Earth Vetala活动等针对中东多个国家的攻击活动有关。该组织主要依靠公开的工具进行横向移动、凭据窃取和情报收集，通过带有包含宏的Word附件的鱼叉式网络钓鱼电子邮件实现初始访问，用作分发恶意负载，显著的攻击特点为善于利用Powershell等脚本后门。该组织自2017年11月被曝光以来，不但没有停止攻击，反而更加积极地改进攻击武器，在土耳其等国家持续活跃。2021年2月，研究人员披露MuddyWater组织针对阿联酋和科威特政府机构的网络攻击活动，活动中使用了伪装成科威特外交部（MOFA）的恶意文件和URL链接，其中，URL链接是通过带有诱饵和诱饵文档的网络钓鱼电子邮件进行分发的。这些文件主题与政府机构员工相关，恶意文档内容是与伊朗近期行动、美国大选影响，以及政府实体对阿拉伯国家与以色列关系的联合研究，攻击者为了使内容更加真实合法，参考了多个官方机构，包括海湾阿拉伯国家合作委员会总秘书处和阿联酋国家媒体委员会。其中一个示例诱饵如左图所示。Docx文件中的超链接冒充阿联酋国家媒体委员会，但实际链接却指向 uni062Auni062Duni0644uni064Auni0644 uni0648uni062Funi0631uni0627u