《奇安信:2023年度全球高級持續性威脅(APT)報告(62頁).pdf》由會員分享,可在線閱讀,更多相關《奇安信:2023年度全球高級持續性威脅(APT)報告(62頁).pdf(62頁珍藏版)》請在三個皮匠報告上搜索。
1、2022 年全球高級持續性威脅(APT)態勢報告中國信息安全測評中心2023 年 4 月I說 明互聯網的快速發展,將網絡空間與政治、經濟、文化、社會、軍事等國家安全領域緊密聯系起來。5G、云計算、物聯網、工業互聯網等新興技術發展助推網絡攻擊的深化泛化。隨著網絡攻擊的發展和國際局勢的加劇,組織性復雜、計劃性高效和針對性明確的攻擊活動更趨常態化,高級持續性威脅(APT)攻擊成為網絡空間突出風險源。2013 年,網絡安全行業發布第一份 APT 分析報告。至今,APT 分析已走過十個年頭,APT 網絡攻擊圖景也在不斷更新迭代。各類 APT 組織猶如正規網絡部隊之外的“散兵游勇”,組織結構不斷分化重組,
2、攻擊手段持續迭代升級,成為網絡空間不容忽視的破壞性力量。當前,APT 已是網絡空間中社會影響最廣、防御難度最高、關聯地緣博弈最緊密的斗爭形態,直接影響現實國家安全,更是國際關系中的重要議題。中國信息安全測評中心長期跟蹤、研究 APT 態勢,此次聯合網絡安全行業以 2022 年全球 APT 活動分析為切入點,基于開源數據和公開報道開展態勢評估,研判 APT 組織發展趨勢、攻擊手法、演進方向等。由于 APT 組織及其活動的復雜敏感性,本報告必然存在疏漏,供同行再作補充完善!II在報告編制過程中,中國信息安全測評中心得到下列專家和機構的鼎力協助,致以誠摯感謝。指導專家汪列軍(奇安信威脅情報中心)吳鐵
3、軍(綠盟科技“伏影”實驗室)孫巖煒(北郵網絡空間安全學院)周欣(深信服科技股份有限公司)孟召瑞(科來網絡技術股份有限公司)參編單位奇安信威脅情報中心綠盟科技“伏影”實驗室360 高級威脅研究院深信服科技股份有限公司北京微步在線科技有限公司北郵網絡空間安全學院安恒信息技術有限公司科來網絡技術股份有限公司北京中睿天下信息技術有限公司中國信息安全雜志社版權聲明本報告版權屬于中國信息安全測評中心,并受法律保護。轉載、摘編或利用其它方式使用本報告中的文字、圖片或觀點的,應注明來源,違者將被追究法律責任。III目 錄說明.I要點.6一、一、2022 年全球年全球 APT 態勢圖景態勢圖景.8(一)總體概覽
4、.81.攻擊數量增長.82.目標區域拓展.83.目標機構泛化.94.攻擊組織多源.10(二)地區熱點激化.111.俄烏沖突激化 APT 攻擊全域展開.112.東北亞安全局勢推動 APT 組織“高位運轉”.143.印巴沖突刺激 APT 組織“纏斗”.154.中東矛盾推動 APT 攻擊軍事化.16(三)疫情持續影響.171.形成疫情屬性的社會工程攻擊模式.182.疫情帶動的遠程辦公助推攻擊常態化.183.刺激 APT 組織轉向經濟目標.19二、我國是二、我國是 APT 主要受害國主要受害國.20(一)攻擊數量持續增加.201.境內受控 IP 數量增加.212.攻擊組織來源多樣化.22(二)攻擊手段
5、日益復雜化.231.“專門定制”對我網攻工具.232.檢測規避手法日益精進.243.攻擊憑借日益復雜隱蔽.24(三)攻擊目標呈現彌散特點.251.重點攻擊政府、科研、金融等關鍵信息基礎設施.252.經濟發達省份和政治中心仍是主要目標地區.26(四)美國對我網攻愈演愈烈.27IV1.潛伏時間長.272.“后門”利用多.283.攻擊目標“精”.284.跳板部署廣.28三三、典型手法、典型手法.30(一)傳統攻擊流程現“新招”.301.偵察:泄露數據庫成為新切入點.302.入侵:社交媒體釣魚持續盛行,水坑攻擊巧用流量推廣.313.執行:反檢測與繞過技術推陳出新,新類型木馬大量涌現.324.橫向移動:
6、敏感服務仍為眾矢之的,CS 工具被逐步替代.355.命令控制:IoT 設備與公共內容平臺成為重要跳板.366.滲出:商業服務與網絡代理被廣泛使用.37(二)偽裝手段盛行.381.設置假旗(False Flag).382.利用 Web 服務隱藏.393.精準識別受害人身份.394.開展跨系統、跨平臺攻擊.405.濫用合法憑證.40(三)漏洞利用成為重要切入點.411.零日漏洞利用.412.在野漏洞利用.413.供應鏈漏洞利用.42四四、2022 年重點組織概覽年重點組織概覽.43(一)傳統組織新動向.431.“毒云藤”改進定向釣魚.432.“海蓮花”提升免殺技巧.433.“拉撒路”更新惡意軟件感
7、染方式.444.“迷人小貓”提升社會工程攻擊方式.445.“蔓靈花”增加惡意負載隱蔽性.456.“摩訶草”更新木馬工具.457.“舒適熊”攜新隱藏工具“回歸”.468.Kimsuky 提升反溯源技術.479.“響尾蛇”升級免殺手法.4710.“污水”善用多種惡意軟件.47(二)新興組織新特點.481.“金剛象”仿冒小眾聊天軟件攻擊安卓平臺.482.Polonium 組織善于利用云服務進行命令與控制.48V3.HIVE0117 傳播部署“無文件”惡意軟件.494.“穆倫鯊”擅長多手段對抗.495.Agrius 利用 VPN 服務進行匿名化.506.Metador 將惡意軟件直接部署到內存中.50
8、7.TAC-040 利用遠程代碼執行漏洞部署后門.508.Modified Elephant 植入偽造的數字證據來實施陷害.519.Dangerous Savanna 惡意攻擊金融機構.5110.Lyceum 利用開源工具執行“DNS 劫持”攻擊.52五五、趨勢研判、趨勢研判.53(一)APT 攻擊與國家戰略方向同頻共振.531.配合現實軍事戰爭.532.上升為政治“籌碼”.533.關基仍是重點目標.54(二)APT 組織攻防較量更趨復雜.541.敵對 APT 組織在攻擊手段上對抗化發展.542.新老組織在攻擊目標和手段上交織融合.543.網絡安全企業逐漸成為攻防主體.55(三)供應鏈成為 A
9、PT 攻擊新目標.551.APT 組織持續提高軟件供應鏈攻擊能力.552.針對開源軟件的 APT 的活動增加.563.邊界設備成為實施 APT“突破口”.56(四)針對新技術新應用的 APT 攻擊持續增加.561.區塊鏈 APT 攻擊呈現生態化的特征.572.云基礎設施正在成為 APT 新戰場.573.空間技術領域成為 APT 攻擊新目標.57(五)APT 攻擊“勒索化”趨勢越來越明顯.581.傳統 APT 組織利用勒索軟件獲取經濟利益.582.加密貨幣成為 APT 重點目標.583.APT 攻擊與勒索攻擊實現模式融合.59(六)APT 事件調查呈現強烈的政治化趨勢.591.國家間 APT 歸
10、因證據漸趨模糊化.602.用“點名羞辱”曝光 APT 組織戰技法并致失效.603.針對 APT 組織實施“精準制裁”.616要 點1.當前世界面臨百年未有之大變局,網絡空間亦風譎云詭。APT 作為網絡空間與現實大國博弈關聯最為緊密的風險點,成為反映網絡空間格局變化的“晴雨表”與“風向標”。俄烏沖突作為2022 年最為突出的地緣政治事件,激化 APT 組織形成持續至今的攻擊潮:在時間上在時間上,作為主要網絡攻擊形式早于軍事行動,“兵馬未動,木馬先行”成為新常態;在目標上在目標上,持續攻擊政府、軍事部門以及關鍵基礎設施等高價值目標,攻擊方式以竊密、破壞為主,“網絡空間精準點穴”發威;在主體上在主體
11、上,除交戰雙方外,來自第三方的黑客組織、網絡安全企業或直接或間接參與其中,“網絡空間代理人戰爭”顯現;在范圍上在范圍上,影響外溢至其他國家和地區,持續塑造網絡空間地緣政治。在網絡空間地緣政治中,APT不僅是軍事戰爭和戰略競爭“武戰”的新形態,而且是政治博弈和外交交鋒“文戰”的新主題。2.APT 呈現軍事化、武器化、組織化、隱匿化等特征:目標目標上上,既聚焦軍事、政府、金融、醫療、能源等高價值行業,又關注具有戰略意義的數字資產和個人信息等經濟目標;組織上組織上,向專業化、組織化轉型,APT 組織與政府部門進一步深度綁定,“雇傭兵”性質更為凸顯,獲得國家級情報信息資源和攻擊武器支持;戰法戰法上上,
12、能在目標網絡上潛伏數月甚至數年不被發現,零日漏洞、供應鏈入侵等高水平滲透手段利用呈現常態化的特征。73.中國是 APT 主要受害國,不僅面臨國家背景的超高能力威脅行為體的現實威脅,還需應對周邊地區威脅行為體的常態化挑釁;受害對象涵蓋我國政府、軍事、經濟、教育、科研等重點部門;攻擊者手法和目標持續更新升級,目標擴散,攻擊深入,尤以美國發動的對華 APT 攻擊最甚。4.傳統 APT 組織“陽謀”盡顯,不斷升級戰技術,實施新的對抗和反溯源技術;新興 APT 組織“陰謀”涌現,攻擊危害不容忽視。新老 APT 組織還利用開源工具、設置假旗、濫用合法憑證等偽裝,憑借零日漏洞、在野漏洞、供應鏈漏洞提升攻擊成
13、功率。5.APT 攻防向體系化方向發展,網絡空間“對等打擊”“相互制約”更趨激烈。圍繞 APT 的政治對抗日益凸顯,“模糊歸因”“點名羞辱”“精準制裁”等成為美西方網絡霸權的新手段,渲染、強化網絡空間“叢林法則”。8一、一、2022 年全球年全球 APT 態勢圖景態勢圖景2022 年,全球 APT 攻擊數量再創新高,呈現出全域展開、多點迸發的特點,在目標區域、目標機構、攻擊主體上均有新變化。(一)(一)總體概覽總體概覽1.攻擊數量增長攻擊數量增長APT 是網絡空間與地緣政治互動的產物,APT 組織活躍趨勢與全球熱點問題密切相關。受地緣政治熱點事件的影響,2022年全球 APT 活動進入新一輪活
14、躍期。一是攻擊總量增多。一是攻擊總量增多。根據國內多家安全廠商的統計顯示,2022 年的 APT 攻擊總量高于2021 年,其中不僅純 APT 攻擊類型增多,APT 與其他攻擊形式融合的混合攻擊也在不斷增長,直接助推形成新攻擊潮。二是攻二是攻擊烈度增強。擊烈度增強。2022 年,造成重大影響的 APT 攻擊事件頻發,既有攻破鋼鐵廠造成停產,也有攻擊衛星通信系統造成“掉線”,還有直接參戰影響戰爭進程的攻擊事件,在后果影響面上更為廣泛。三是攻擊形式多樣。三是攻擊形式多樣。2022 年,APT 組織攻擊形式有一個明顯的變化就是從原有的“破壞”到“攻心”地拓展,無論是通過攻擊宣傳部門,還是攻擊致泄露大
15、量個人信息,部分 APT 組織正在增多意圖干擾認知、影響民眾心理的攻擊活動。2.目標區域拓展目標區域拓展地緣政治目標一直是 APT 組織任務的核心,熱點地緣政治事件持續驅動 APT 組織行動,2022 年尤甚。一是一是沖突事件致攻9擊激增。俄烏沖突作為近年最典型的地緣事件,成為推動 2022年 APT 攻擊走高的導火索,交戰雙方以及相關國家遭遇的 APT攻擊數量最為突出。二是二是熱點區域形成攻擊“高地”。中東地區、南亞地區、東北亞等熱點區域現實沖突不斷,網絡空間的 APT攻擊相應配合,相關國家所涉 APT 攻擊“高位運行”,如圖 1 所示。三是三是非洲國家攻擊事件開始增多。隨著非洲國家在全球地
16、緣政治中的重要作用不斷凸顯,針對非洲國家的攻擊也開始出現在全球 APT 攻擊版圖中。圖圖 1:2022 年年度度 APT 主要攻擊目標國家分布主要攻擊目標國家分布3.目標機構目標機構泛化泛化近年來,APT 攻擊目標更趨泛化。在所有的攻擊目標中(如圖 2 所示),一是一是政府和外交機構、國防承包商等“高政治”領域依然是重點目標,情報數據竊密仍舊猖獗;二是二是金融部門、博彩10機構等經濟組織成為攻擊熱門,索取經濟利益的攻擊活動更為頻繁。三是三是針對技術部門的攻擊增多,特別是在當前科技博弈日趨嚴峻的形勢下,芯片行業等科技部門成為攻擊新領域。圖圖 2:2022 年年度度 APT 主要攻擊目標機構分布主
17、要攻擊目標機構分布4.攻擊組織攻擊組織多源多源在 APT 攻擊戰場中,傳統組織與新興組織更迭交替,如圖 3所示。一方面一方面,“拉撒路”、Kimsuky(又名 Mystery Baby、Baby Coin、Smoke Screen、Black Banshe)、“摩訶草”(Patchwork)、“透明部落”(Transparent Tribe)等傳統老牌 APT 組織在 2022 年持續活躍,不斷精進攻擊手法,仍然占據 APT 整體圖景的“基本盤”。另一方面另一方面,新興組織不斷涌現?!澳聜愼彙保∕urenShark)、Polonium、Metador 均為 2022 年新披露的組織,在攻擊活動
18、中展現了較強的對抗能力,成為新的威脅行為體,加劇形勢復雜。11圖圖 3:2022 年年度主要度主要 APT 攻擊組織分布攻擊組織分布(二二)地區熱點激化地區熱點激化2022 年,全球政治亂象紛呈,大國博弈趨于白熱,APT 攻擊與熱點地緣政治事件同頻共振。俄烏沖突爆發,沖突雙方的對抗圍繞線上線下雙戰場同步展開;拜登政府布局印太,發布印太戰略,攪動印太局勢;東北亞和南亞 APT 組織伺機而動;印度與巴基斯坦 APT 攻擊持續高漲;伊朗和以色列之間 APT 攻擊成常態。1.俄烏沖突俄烏沖突激化激化 APT 攻擊全域展開攻擊全域展開俄烏沖突作為 2022 年最為突出的地緣政治事件,激化 APT組織形成
19、持續至今的攻擊潮。12一是時間上一是時間上,APT 攻擊貫穿沖突醞釀攻擊貫穿沖突醞釀、爆發爆發、相持各階段相持各階段。在戰爭醞釀階段在戰爭醞釀階段,APT 組織以竊取國防和軍事外交情報為主,扮演著戰場“偵察兵”角色。早至 2021 年下半年,雙方能源和通信提供商的網絡已成為破壞性攻擊目標,攻擊方意在實現戰前威懾目的。在戰爭爆發前夕在戰爭爆發前夕,APT 攻擊成為沖突爆發前的“預演”,網絡空間早于現實沖突進入戰時階段,此階段的網絡攻擊主要在于制造戰爭前的混亂。在在戰爭爆發初期戰爭爆發初期,雙方網絡力量立即轉入激烈的攻防對抗中,網絡攻擊烈度最強,意在獲取戰場壓倒性優勢實現“速戰速決”。在戰爭相持階
20、段在戰爭相持階段,戰爭初期擔任破壞者角色的APT 組織開始調整攻擊目標和方式,攻擊的復雜性相對降低,“高頻低烈”的行動增多,攻心為上,以影響對方輿論場的信息戰行動增多。二是二是目標上目標上,APT“無差別化無差別化”打擊日益凸顯打擊日益凸顯。俄烏沖突中的APT 攻擊從最早聚焦于軍事目標以及關鍵基礎設施到后來拓展到具體群體,“無差別化”打擊特點突出。一一方面方面,針對軍事目標針對軍事目標開展協同攻擊開展協同攻擊仍然是主流仍然是主流。俄烏沖突中,網絡攻擊與現實軍事行動具有較高程度的協同性,網絡攻擊貫穿軍事行動全過程,同時國防部、軍事通信部門以及國防承包商等涉軍機構成為 APT 攻擊的優先目標。另一
21、方面另一方面,政府政府、能源能源、金融等領域的關鍵基礎金融等領域的關鍵基礎設施和重要信息系統往往是戰爭中設施和重要信息系統往往是戰爭中“第一批次第一批次”的重要目標的重要目標,俄羅斯天然氣、礦業、金融等重要信息系統等均遭到嚴重攻擊,“北溪 2 號”天然氣管道運營商就曾因網攻暫時關閉網站。此外,俄此外,俄13烏沖突中烏沖突中,還出現了還出現了多起針對作戰人員多起針對作戰人員、情報人員以及官員的重情報人員以及官員的重大信息泄露事件大信息泄露事件。如,12 萬參戰俄羅斯軍人個人信息、俄羅斯銀行 1TB 的數據等。泄露個人信息是國家級沖突影響普通個體最為直接的方式,可在目標國內改變輿論風向,引發社會混
22、亂。三是三是主體上主體上,各量級行為體參戰推高局勢復雜度各量級行為體參戰推高局勢復雜度。俄烏沖突引發全球關注,除來自俄烏兩國的 APT 組織,域外國家、組織甚至個人或直接或間接參與到沖突中,現實國際關系中的“區域戰”演變為虛擬網絡空間的“全體戰”。一方面,一方面,國際性黑客組織國際性黑客組織“選邊選邊”“站隊站隊”。戰爭開始前后,美國和烏克蘭政客呼吁全球黑客對俄羅斯發起網絡攻擊,各類國際黑客組織相繼發表立場聲明,意圖“渾水摸魚”擴大聲勢。如,“匿名者”向俄方宣戰,針對俄政府機構、主流媒體及軍事機構發起多起大規模網絡攻擊事件。另另一方面一方面,域外國家網絡組織直接域外國家網絡組織直接“參戰參戰”
23、。由于沖突期間雙方防守壓力較大,攻擊數量多難以追蹤溯源,許多域外國家 APT 組織將其視為檢驗進攻技術以及網絡武器的機會,開展對抗較量。此此外外,網絡安全企業成為網絡安全企業成為戰場戰場重要重要“第三方第三方”。俄烏沖突中,科技巨頭、網絡安全企業作為政府的盟友直接參與網絡攻防行動。微軟、思科、ESET 等網絡安全企業利用先進的遙測技術遠程“勘探”戰場,充當網絡攻防的“軍師”,向烏克蘭提出應對措施和建議,并公開發布網絡安全報告,持續披露來自俄羅斯網絡攻擊的策略、技術和程序(TTPs)。結論“一邊倒”的報告在國際輿論中成功塑造俄羅斯在網絡空間“恃強凌弱”的形象,激發更多立場傾向明顯14的網絡安全企
24、業、科技企業、黑客個體支援烏克蘭,成為俄烏沖突中的重要“援軍”。四是四是范圍上,范圍上,APT 影響外溢其他國家和地區影響外溢其他國家和地區。隨著戰爭的持續發展,交戰雙方的APT組織擴大攻擊范圍,開始針對外圍“站隊”國家或組織進行攻擊。如,俄烏沖突爆發后,支持烏克蘭的黑客組織“匿名者”對白俄羅斯政府進行了網絡攻擊,入侵數十個部委和銀行。此外,具有俄烏沖突屬性的惡意軟件被發現已擴展到沖突地之外,全球各地的網絡犯罪組織也在利用俄烏沖突作為主題,引誘潛在受害者運行惡意代碼。2.東北亞安全局勢推動東北亞安全局勢推動 APT 組織組織“高位運轉高位運轉”“半島爭端”由來已久,朝韓兩國的 APT 攻擊淵源
25、頗深,在近年的政治局勢下更有加劇之勢。2022 年 5 月韓國新政府組閣,韓總統尹錫悅改變前任的溫和政策,積極參與“印太經濟框架”(IPEF)、貼靠“印太戰略”、美日印澳“四方安全對話”(QUAD),加入北約“合作網絡防御卓越中心”(CCDCOE),升級對朝鮮軍事威懾并強化制裁等強硬舉措,直接加劇了東北亞局勢緊張。2022 年,以“拉撒路”(Lazarus)、Kimsuky、“黑店”(Darkhotel)為代表的典型 APT 組織的高活躍度正是對于該地區局勢趨緊的直接反應。一是半島政治問題是熱點誘餌。一是半島政治問題是熱點誘餌。APT 組織一直善于利用能夠激發公眾興趣的熱點事件,如 Kimsu
26、ky 組織在 2022 年以基于政治動機的攻擊為主,所使用的惡意附件所攜帶的誘餌話題多是15半島地緣政治相關話題,特別是朝核問題中的朝韓、美韓和朝美關系1。二是攻擊目標下沉至二是攻擊目標下沉至細分領域細分領域。除對于傳統政府部門、重要基礎設施開展攻擊以作政治宣示外,APT 組織目標開始下沉到業務機構甚至特定群體。如,“拉撒路”除鎖定傳統金融部門外,還將目標延伸至化工和信息技術相關部門,以實施業務信息竊??;ScarCruft(又名 Ricochet Collima、InkySquid、Reaper 或 APT37)則慣常針對記者展開惡意軟件攻擊。三是三是組織組織對抗性日益凸顯對抗性日益凸顯。朝韓
27、兩國在現實中的針鋒相對態勢延續到網絡空間,形成“分庭抗禮”之勢。為報復朝鮮網絡攻擊,疑似來自韓國的 APT 組織“黑店”2利用新的火狐瀏覽器的零日漏洞,密集在朝鮮網站部署“水坑攻擊”。3.印巴沖突刺激印巴沖突刺激 APT 組織組織“纏斗纏斗”印巴沖突持續數十年,早已從現實沖突延伸到網絡空間。2022 年,美國轉向“印太”,明確印度作為“四邊安全對話”“印太經濟框架”等機制的重要成員,積極拉攏孟加拉國加入其“印太戰略”圈,系列舉動打破地區平衡,刺激巴基斯坦逐漸回歸與印度對抗的傳統政策?;诖?,“響尾蛇”(SideWinder)、“蔓靈花”(Bitter)、“摩訶草”(Patchwork)、“透明
28、部落”(Transparent Tribe)、“金剛象”(VajraEleph)、“肚腦蟲”(DoNot)3等組織“聞風而動”,1https:/ 2016 年開始活躍,主要針對巴基斯坦、斯里蘭卡、孟加拉國和其他南亞16在網絡空間“交織纏斗”。一是軍一是軍情情部門部門是眾矢之的是眾矢之的。在南亞地區的 APT 組織中,軍事部門是重要目標。2022 年,“響尾蛇”針對巴基斯坦空軍總部,“透明部落”針對印度軍事人員,“摩訶草”針對巴基斯坦國防部,“金剛象”針對巴基斯坦軍方,均發起有組織、有計劃、針對性強的軍事間諜情報活動。值得注意的是,一些國家內部的軍事行動政策也會招致外部 APT 組織的干擾。如,
29、2022 年下半年,巴基斯坦在反恐方面的高調表現引發了印度 APT 組織“摩羅桫”(Confucius)4的關注,針對巴基斯坦木爾坦地區的武裝力量發起攻擊。二是二是重要群體成攻擊熱門重要群體成攻擊熱門。為擴大攻擊效果,許多 APT 組織將目標聚焦到特定群體。如,“摩訶草”在針對巴基斯坦的攻擊中開始攻擊研究分子醫學和生物科學的教員,以應對疫情影響。三是善用跳板緊抓時機。三是善用跳板緊抓時機。為混淆視聽,部分 APT 常搭建中間跳板,并選取在特別時機開展攻擊。如,“蔓靈花”在 2022 年被監測到通過巴基斯坦政府機構作為跳板攻擊孟加拉國,同時利用尼泊爾建軍節攻擊巴基斯坦政府。4.中東矛盾推動中東矛
30、盾推動 APT 攻擊軍事化攻擊軍事化錯綜復雜的政治局勢使得中東地區一直都是 APT 攻擊的高發區,從“震網”到 Duqu,網絡戰在中東儼然成為常態,在軍事國家進行網絡間諜活動,主要關注政府和軍事組織、外交部和大使館。4Confucius 疑似由印度資助,從 2013 年開始執行網絡攻擊活動,主要目標為巴基斯坦、中國等印度鄰國,對軍事、政府與能源等領域的目標具有濃厚興趣。17戰中的地位越來越凸顯。中東地區活躍的 APT 組織主要包括“污水”(MuddyWater)、Lyceum、“月光鼠”(Molerats)、“迷人小貓”(Charmer Kitten,又名 APT35、TA453)等。一一是攻
31、擊目標是攻擊目標更趨更趨復雜復雜。隨著中東局勢的趨緊,APT 攻擊呈現出更為復雜的特點。能源行業是中東地區攻擊活動中的首選目標,如,Lyceum 使用 DNS 后門,集中針對能源和電信行業的公司展開攻擊。重點實體也逐漸成為主要攻擊目標。如,“月光鼠”至少從 2012 年將以色列、巴勒斯坦地區與政黨相關的組織和個人作為主要目標,并慣用政治相關主題作為誘餌對政府、外交、航空實體以及人權活動家開展網絡間諜活動。二二是是直接直接配合配合軍事行動軍事行動。2022 年,伊朗和以色列沖突多烈度多場域開展,兩國對待網絡攻擊的態度已從傳統的隱蔽、不承認轉變為公開和精確打擊,APT 攻擊成為重要軍事手段。如,2
32、022年初,伊朗網絡安全公司 Amnpardaz 研究人員5首次發現 rootkit病毒(又稱為 iLOBleed)正針對惠普企業服務器展開攻擊,可從遠程感染設施并擦除數據。2022 年 6 月,疑似來自以色列的名為“掠奪性麻雀”(Predatory Sparrow,又稱為 Gonjeshke Darande)的 APT 組織對伊朗多家鋼鐵制造商實施三起大規模攻擊,造成其中一家鋼鐵廠被迫停產,引國際社會廣泛關注。(三三)疫情持續影響)疫情持續影響一直以來,利用重大全球性事件作誘餌是 APT 組織慣用“伎5https:/ APT 組織仍在利用公眾恐慌來開發各種惡意軟件變體,形成獨具風格的“后疫情
33、時代的網絡攻擊浪潮”,并一直延續至今。1.形成形成疫情屬性的疫情屬性的社會工程攻擊模式社會工程攻擊模式一是一是“疫情做餌疫情做餌”網絡攻擊網絡攻擊盛行盛行。攻擊者將疫情誘餌隱藏在各類攻擊鏈條中,使用帶有新冠疫情主題的電子郵件或惡意鏈接,再配置一項中間下載器作為實際惡意軟件有效負載的傳遞機制6。如,“舒適熊”(Cozy Bear,又名 APT29、NOBELIUM)在 2022年以疫情為誘餌開展攻擊。二是針對生命科學和醫療保健二是針對生命科學和醫療保健行業行業的的攻擊維持高位。攻擊維持高位。受疫情影響,部分經濟目標導向的 APT 組織將生命科學和醫療保健作為主要目標,以利用疫情造成的高需求賺取錢
34、財。如,朝鮮黑客組織利用 Maui 勒索軟件攻擊醫療保健和公共衛生部門組織等。2.疫情帶動的遠程辦公助推攻擊常態化疫情帶動的遠程辦公助推攻擊常態化疫情影響下遠程辦公成為各企業工作的“新常態”,對線上辦公的依賴為網絡攻擊提供了可乘之機,遠程辦公基礎設施成為攻擊者的主要突破口。一是身份攻擊更加廣泛一是身份攻擊更加廣泛。隨著遠程辦公時代的到來,身份已經成為了新的安全邊界。根據 2022 年的 Verizon數據泄露調查報告,幾乎一半的攻擊都涉及被盜憑據。二是二是企業企業類服務器軟件的安全漏洞成為重點對象類服務器軟件的安全漏洞成為重點對象。2022 年,多個 APT 組6https:/ Exchang
35、e 郵件服務器零日漏洞發起攻擊;較多公司在疫情期間所使用的 Atlassian Confluence 軟件被檢測到漏洞利用情況。我國國內遠程桌面控制軟件“向日葵”也曝光存在遠程代碼執行漏洞。3.刺激刺激 APT 組織轉向經濟目標組織轉向經濟目標傳統的 APT 攻擊主要集中于政府、軍工、電力、能源、外交、教育、機械重工等行業,在疫情帶來的經濟疲軟背景下,相當一部分對于經濟訴求較為明顯的 APT 組織活動更趨頻繁,逐漸將金融機構、加密貨幣等具有較高經濟價值的對象作為主要目標,“不僅尋求信息,還追求金錢”7成為當前 APT 組織復雜性的表現之一。2022 年,涉及挖礦軟件、勒索攻擊、竊取加密貨幣等形
36、式的 APT 攻擊活動持續披露,并呈現不斷上升的趨勢。APT組織以勒索方式或盈利為目的攻擊活動,其真實意圖既存在利用勒索加密實施真實攻擊的掩護,也包含 APT 組織本身以牟利為目的展開的攻擊。7https:/ APT 主要受害國主要受害國我國面臨的 APT 網絡攻擊威脅是全方位的,風險源既有國家背景的超高能力威脅行為體,如,美國國家安全局網攻組織APT-C-40、“方程式”(Equation)、CIA(Vault7)等,又有周邊地區組織的滋擾,如,“海蓮花”(Ocean Lotus)“毒云藤”等。攻擊目標涵蓋了我國政府、軍事、教育、科研院所、海事機構、航空航天等關鍵信息基礎設施和重要信息系統,
37、活躍時間長達幾年甚至十幾年。(一)攻擊數量持續增加(一)攻擊數量持續增加圖圖 4:2022 年年度度受害目標涉及中國的公開報告數量月度分布受害目標涉及中國的公開報告數量月度分布2022 年針對中國的 APT 攻擊呈現持續高發狀態,國內安全公司公開發布的受害目標涉及中國的活躍組織分析報告 22 份,分布情況如圖 4 所示。值得注意的是,實際發生在我境內的 APT攻擊事件遠高于公開披露數據,僅對我攻擊的 APT 組織就達數十之多。相關報告所涉及的 APT 組織除了美國安局“方程式”外,其余大部分來自我國周邊地區。具體情況如表 1 所示。21表表 1:針對我國的:針對我國的部分部分 APT 組織組織
38、攻擊組織攻擊組織疑似疑似來源來源事件簡介事件簡介“方程式”美國隸屬于 NSA,其用于針對我國內目標的頂級后門“Bvp47”、“酸狐貍”漏洞攻擊武器平臺、“驗證器”(Validator)木馬程序、“飲茶”(Suctionchar_Agent)木馬程序等攻擊武器先后被披露BlueNoroff朝鮮疑似為 Lazarus 下屬團體,以惡意軟件和偽造的MetaMask 瀏覽器擴展,針對加密貨幣初創公司非法竊取加密貨幣“黑店”韓國針對中國澳門豪華酒店的惡意活動,或為未來的間諜活動做準備“蔓靈花”印度偽裝我國攻擊孟加拉國“海蓮花”越南針對我國國家機關單位發動攻擊“摩訶草”印度摩訶草在 2022 年針對我國內
39、的攻擊活動中除了其常用的 BADNEWS 木馬,還應用了跟以往不同的攻擊工具:Patchinfecter 木馬、Infectedloader 木馬“暗象”印度利用郵件持續攻擊我國重點領域竊取信息1.境內受控境內受控 IP 數量增加數量增加2022 年,我國大量 IP 與多個境外 APT 組織 C2 服務器(Command&Control Server,遠控服務器)發生通信行為,攻擊高峰為年中、年末兩個時期,且年中 5、6 月份的攻擊頻率顯著高于其他時期,6 月份境內疑似受控的 IP 數量甚至達到了 12月的 2 倍,如圖 5 所示。圖圖 5:2022 年中國境內疑似受控年中國境內疑似受控 IP
40、 數量月度分布數量月度分布222022 年,中國境內每月受控 IP 數量與去年同期數據對比如圖 6 所示。圖圖 6:2022 年每月受控年每月受控 IP 數量與數量與 2021 年同期對比年同期對比總的來看,2022 年整體趨勢與 2021 年大體類似,存在年中年末兩個攻擊上升時期,但 2021 年疑似受控 IP 數量峰值比 2022年高,尤其 12 月較為明顯;2022 年受境外 APT 組織攻擊較為密集的時期為 6 月,較 2021 年提前一個月,但 2022 年 5-6 月疑似受控 IP 數量一直保持在較高狀態。2.攻擊組織來源多樣化攻擊組織來源多樣化在對我進行網絡攻擊的活躍組織中,不僅
41、包含在全球大范圍實施攻擊活動的 APT 組織,如,“拉撒路”(Lazarus)、“方程式”(Equation)、APT-C-40(源自美國國家安全局)在針對全球的廣泛攻擊目標中包含中國;還有在近年攻擊活動中專門針對中國目 標 的 APT 組 織,如,“摩 訶 草”、TA575、“虎 木 槿”(OperationShadowTiger)、“蔓靈花”等。23圖圖 7:2022 年年 APT 組織控制境內組織控制境內 IP 數量占比及數量占比及 C2 服務器數量分布服務器數量分布2022年內有數十個境外APT組織對我國境內IP地址發生過非法連接,主要發起攻擊的 APT 組織具體占比情況如圖 7 所示
42、。一方面,我國周邊國家地區APT組織對我發起頻繁攻擊,涉及“海蓮花”“毒云藤”“蔓靈花”“虎木槿”等組織?!昂I徎ā贬槍ξ覈P鍵基礎設施部門逐步實施供應鏈攻擊與漏洞攻擊;“毒云藤”仍深耕網絡釣魚活動,向國內多個目標投遞釣魚郵件。另一方面,美國將我設定為網絡空間最為主要的對手,一直對我實施高級別的網絡攻擊,憑借其復雜的技術手段,難以窺其全貌。2022 年曝光的美國安局所屬的“方程式”對我國內重要基礎設施發起多起大規模網絡攻擊,也只是其所實施的網絡霸權的“冰山一角”。(二)攻擊手段日益復雜化(二)攻擊手段日益復雜化1.“專門定制專門定制”對我網攻工具對我網攻工具各 APT 組織在長期針對我國網絡攻
43、擊中逐漸“摸清”我重要行業的薄弱點和風險點,定制相關 TTPs。如,“海蓮花”在 2022年 5 月針對我國產化系統的定向攻擊中專門基于我國產化系統24的特點對其攻擊載荷進行了定制,特別研發了針對 MIPS 架構的木馬程序8?!澳υX草”在對我攻擊活動中所使用的后門程序在連接控制服務器之間會專門檢測目標機器的時區設置是否為中國9。AgainstTheWest(ATW)黑客組織早期主要針對 SonarQube 代碼質量管理平臺進行攻擊,在 2022 年初其攻擊目標又擴大到我國廣泛使用的 Gitblit、Gogs 等代碼存儲管理平臺。2.檢測規避手法日益精進檢測規避手法日益精進部分 APT 組織為實
44、現更深層次的控制和隱蔽,不斷更新迭代武器庫,采用多種技術、手法進行偽裝、混淆和隱藏,以實現規避、繞過網絡、主機等層面檢測。如,“摩訶草”在 2022 年的攻擊活動中,使用竊取的簽名對其惡意代碼進行偽裝,以降低在主機端暴露的風險;引入開源加密庫,更新加密算法,以實現在流量層面的隱藏;攻擊載荷中增加對重點 API 調用監控的功能,以繞過部分安全產品的檢測10。3.攻擊憑借日益復雜隱蔽攻擊憑借日益復雜隱蔽利用零日漏洞、開源軟件供應鏈等較為復雜隱蔽的手段滲透到我國目標系統的攻擊事件高發。Log4j 作為近兩年來影響最嚴重的開源軟件漏洞,在 2022年仍然受到各類涉華 APT組織青睞。據統計,僅 202
45、2 年上半年,我國內遭受利用 Log4j 漏洞的攻擊8資料來源于奇安信威脅情報中心9https:/ 8 千萬次以上11。2022 年 2 月,“黑店”利用 Firefox 瀏覽器 2 個在野零日漏洞(CNNVD-202203-501、CNNVD-202203-503)針對特定目標進行水坑攻擊。(三)攻擊目標呈現彌散特點(三)攻擊目標呈現彌散特點涉華 APT 組織重點關注政府、科研、金融等關鍵信息基礎設施,具有信息竊取、經濟獲利、情報刺探、物理破壞等多種攻擊意圖。1.重點重點攻擊攻擊政府、科研、金融等關鍵信息基礎設施政府、科研、金融等關鍵信息基礎設施涉華 APT 攻擊活動中,目標涉及政府、金融、
46、科研、能源、醫療、電力、電信等關鍵信息基礎設施和重要信息系統(如圖 8所示),旨在進行敏感信息竊取、物理破壞以影響系統正常運行。圖圖 8:2022 年高級威脅事件涉及境內行業分布情況年高級威脅事件涉及境內行業分布情況涉華 APT 組織在長期攻擊活動中形成一定的行業傾向,如表 2 所示。11https:/ 2:針對我國境內目標的活躍:針對我國境內目標的活躍 APT 組織及其關注的行業領域組織及其關注的行業領域組織名稱組織名稱涉及行業涉及行業“海蓮花”政府、科研、安全、教育、能源、通信“毒云藤”政府、教育、科研、國防APT-Q-12政府、制造、科研、金融“金眼狗”金融、博彩“蔓靈花”政府、軍工“摩
47、耶象”政府、教育“摩訶草”科研、教育2.經濟發達省份和政治中心經濟發達省份和政治中心仍仍是主要目標地區是主要目標地區2022 年,中國境內疑似連接過境外 APT 組織 C2 服務器的IP 地址數量較多的前 10 個省份地域如圖 9 所示??梢钥闯?,經濟發達省份和政治中心是境外 APT 組織重點攻擊的主要目標地區,其中,北京市是 APT 組織的重點目標地區,其次是廣東、上海、福建、安徽等地區。圖圖 9:2022 年中國境內疑似受控年中國境內疑似受控 IP 地域分布地域分布針對北京市進行攻擊的境外 APT 組織依然主要來自我國周27邊國家地區,具體活躍排名如表 3 所示。表表 3:攻擊:攻擊北京市
48、北京市內目標的境外內目標的境外 APT 組織排名組織排名排名排名組織組織排名排名組織組織1“海蓮花”5“肚腦蟲”2“毒云藤”6“金眼狗”3Kimsuky7“響尾蛇”4“拉撒路”8“摩訶草”(四)美國對我網攻愈演愈烈(四)美國對我網攻愈演愈烈美國將中國視為最主要的“戰略競爭對手”,在現實社會和網絡空間中同步打壓。拜登政府上臺以來,持續實施“前置防御”“前沿狩獵”等進攻性網絡行動,瞄準目標國家開展大量的數據竊取、后門部署、網絡攻擊等活動,其中 APT 是重要手段。2022 年曝光的美國對我 APT 攻擊事件中,顯示美對我開展大規模、長時間、系統性的網絡攻擊,潛伏時間長、“后門”利用多、跳板部署廣,
49、對我國國防安全、關鍵基礎設施安全、金融安全以及公民個人信息造成嚴重危害。1.潛伏潛伏時間長時間長隸屬于美國的 APT 組織技術復雜、溯源難度大,在針對目標對象的攻擊活動中善于長遠規劃,潛伏長達十余年。近年來,隨著我國網絡攻擊溯源技術的提升,美國對我實施的網絡攻擊的圖景正逐漸揭開“迷霧”。2022 年公開披露的美對我攻擊案例中,均是潛伏多年的老練 APT 組織,APT-C-40 針對系列行業龍頭企業長達十余年時間的攻擊活動12就是美對我長期開展網絡情報刺探的典型例證。12由 360 政企安全集團披露282.“后門后門”利用多利用多美國囤有大量的網絡漏洞和武器平臺,具有大量打擊目標國家的“彈藥”和
50、“發射器”。2022 年,前有美“方程式”組織制造的頂級后門程序“電幕行動”(Bvp47)曝光,后有美 NSA 特定入侵行動辦公室(TAO)的漏洞攻擊武器平臺“酸狐貍”揭開神秘面紗,廣泛入侵包括我國在內的全球數十個國家和地區,美國成為網絡空間最大的不穩定因素。3.攻擊目標攻擊目標“精精”隨著美對華網絡對抗的國家安全化,美在網絡空間逐漸采取一種更為精進的攻擊策略,即從傳統基于全領域全平臺的攻擊逐漸轉向特定重點目標,嵌入我重要供應鏈、關鍵基礎設施以及重要技術領域,2022 年 3 月份曝光的美國國家安全局(NSA)針對中國境內目標所使用的 Quantum(量子)攻擊平臺13就是例證。更加聚焦的攻擊
51、目標以及更高級的手段運用也是美國區別于其他國家 APT 組織的典型例證。4.跳板跳板部署廣部署廣盟友是美網絡霸權的關鍵支柱,在高級復雜的網絡攻擊活動中,美國各級別的盟友在攻擊鏈中占據關鍵節點。2022 年 6 月曝光的美入侵西北工業大學行動中,先后使用了 54 臺跳板機和代理服務器,廣泛分布在日本、韓國、瑞典、波蘭、烏克蘭等13由 360 政企安全集團披露2917 個國家,其中 70%位于中國周邊國家14??梢钥闯?,“五眼聯盟”此類在傳統地緣中結成的聯盟在網絡空間依然聯結緊密。美通過此舉不僅可掩蓋發起網絡攻擊的真實網絡協議地址,增加溯源難度,還可將盟友納入美網絡攻擊環,實施所謂網絡空間集體行動
52、。14https:/ 行為者在不斷改變策略,改進工具,開發新的攻擊技術,并在攻擊流程、偽裝手段以及攻擊憑借上進行了創新。(一)傳統攻擊流程現(一)傳統攻擊流程現“新招新招”APT 攻擊具有完整的生命周期,一般可總結為:偵察、入侵、持久化駐留、橫向移動、滲出等階段,各攻擊組織積極改進攻擊流程和技術,以期提升攻擊成功率。圖圖 10:APT 攻擊流程圖攻擊流程圖2022 年度,APT 組織在入侵、執行、橫向移動、命令控制等關鍵攻擊階段都出現了技術或思路的演變,這些變化體現在社交媒體釣魚、新語言木馬開發、后滲透工具選擇、滲出途徑擴展、新式跳板平臺構建等方面。1.偵察:泄露數據庫成為新切入點偵察:泄露數
53、據庫成為新切入點近年來,國內外爆發了大量數據泄露事件,泄露數據庫成為APT 組織偵察活動的新切入點。一方面,一方面,大量個人數據大量個人數據泄露泄露成為成為 APT 組織組織開展開展目標偵察的目標偵察的31入口。入口。如,2022 年上半年的一起 APT 攻擊中,FIN12 通過對某泄露數據集進行清洗,確認了一個跨國企業工作人員持有重要憑證,通過該憑證入侵該企業位于公網中的云服務平臺,進而入侵內網完成攻擊,造成了企業側的重大損失。隨著數據泄露事件的不斷增多,預計類似上述通過清洗數據確認攻擊目標的 APT 偵察行為將會持續增加。另一方面另一方面,APT 組織組織更為更為主動挖掘目標信息主動挖掘目
54、標信息。并不滿足于被動等待泄露數據的出現,各 APT 組織開始使用各種偵察手段。如,有 APT 組織會主動購買商業化的威脅情報類數據,通過搜索此類情報獲取可能的攻擊入口,再執行針對性的竊密類攻擊獲取登錄憑證等關鍵內容;另一類偵察方式則通過部署蜜罐類誘騙設備實現,APT 組織通過模仿網絡安全人員的探測手段,使用偽裝誘騙的方式捕獲零日漏洞等有效的攻擊載荷,再將此類攻擊載荷運用在對實際目標的攻擊行動當中。2.入侵:社交媒體釣魚入侵:社交媒體釣魚持續持續盛行盛行,水坑水坑攻擊巧用流量推廣攻擊巧用流量推廣為了追求更高的滲透精準率,APT 組織正在持續改進入侵手法并開拓新的入侵領域。一是借助一是借助社交媒
55、體社交媒體搜索搜索“目標獵物目標獵物”。推特、領英、Discord等社交平臺成為APT組織篩選受害者并發動攻擊的新目標。2022年,“拉撒路”通過在推特和領英等平臺上偽造虛假身份的方式,吸引目標受害者與其聯系,并通過 WhatsApp 等渠道傳播惡意軟32件,竊取受害者設備的信息15。此外,攻擊者更為頻繁地滲透特定網絡社區。2022 年上半年,名為 Eternity 的攻擊者在其蠕蟲程序中配置了 Telegram 釣魚模塊與 Discord 釣魚模塊,這些模塊通過竊取并使用受害者社交平臺賬戶的方式,在受害者的對應網絡社區中散布惡意鏈接,從而進一步滲透與受害者有關聯的其他社交媒體用戶16。二是改
56、良二是改良傳統釣魚郵件傳統釣魚郵件入侵入侵。為快速與目標建立信任關系,最大程度提高釣魚郵件的欺騙性,許多組織不斷改良傳統釣魚郵件入侵的手段。如,Phosphorous 組織在發送惡意郵件前,會首先劫持通信雙方的歷史郵件會話記錄,并偽裝成通信方繼續此郵件的后續內容溝通17。三三是是巧用流量推廣開展水坑攻擊。巧用流量推廣開展水坑攻擊。APT 組織正在提高水坑釣魚的攻擊效率。如,“透明部落”在 2022 年下半年一次針對印度政府的活動中,搭建一個偽造 Kavach 應用程序下載頁面的水坑站點之后,使用谷歌的網站推廣功能使該站點占據搜索結果中的首位,這種操作使水坑站點的攻擊面大大增加。3.執行執行:反
57、檢測與繞過技術推陳出新反檢測與繞過技術推陳出新,新類型木馬大量涌現新類型木馬大量涌現為保證攻擊流程的成功實施,APT 組織攻擊者需要持續強化15https:/ 年度,APT 組織在代碼執行手法上展現明顯的一致性趨勢。一是繞過一是繞過技術技術創新。創新。繞過技術是體現 APT 組織技術能力的重要方面。如,“拉撒路”組織使用 BYOVD(Bring Your OwnVulnerable Driver)技術禁用系統的安全軟件,通過 Rootkit 惡意軟件,利用易受攻擊的驅動程序內核模塊來直接讀取和寫入內存區域18。其他繞過及代碼執行技術包括:HTML 夾帶19、盜取證書簽名等20、鼠標懸停觸發21
58、。另外,側加載技術作為一種普遍使用的繞過攻擊技術在 2022 年利用更廣泛,如“響尾蛇”(Sidewinder)組織實現了對 Windows 組件 explorer 的利用22;“舒適熊”實現了對惠普掃描儀程序 HPScan 的利用23;而在一場名為DarkCasino 的 APT 行動中,Evilnum(又稱為 DeathStalker)攻擊者并未將原始 python39.dll 文件移除替換,而是直接對該文件進行反匯編修改,將 shellcode 直接寫入原始 DLL 文件的加載入口處,使惡意代碼可以被原始 python 程序調用運行24。二是二是新語言木馬增多新語言木馬增多。隨著新型語言
59、對攻防技術的支持日趨18https:/ 組織開始使用新開發語言或框架來構建木馬程序,從而獲得強大的終端及網絡檢測系統的繞過能力與反檢測能力。2022 年初,“洛瑞熊”(Lorec53)在一系列與俄烏戰爭相關的 APT活動中,投放了一種名為 GoElephant 的框架式木馬25,具有較強的免殺功能26;“拉撒路”組織也開始使用一種由 Go 語言開發的木馬程序 YamaBot,實現了多操作系統兼容27;Rust 語言則憑借其強大的運行效率和跨平臺能力,成為 HIVE、ALPHV 等黑客團伙的首選開發語言,構建了能夠同時在 Windows 和 Linux 平臺運行的惡意程序。其他新語言木馬還包括:
60、使用 Nim 語言編寫的開源 loader NimPacket28以及用 Dlang 編寫的 Dshell、Vovalex、OutCrypt 等29。三是三是“無文件無文件”的攻擊方式增多的攻擊方式增多。除語言出新之外,部分 APT組織開始使用“無文件”攻擊方式?!袄雎贰苯M織使用的 VHD(虛擬磁盤映像)文件樣本在 VT 平臺實現了免于被查殺的效果30。部分攻擊者將 shellcode 放入 Windows 事件日志,使最后階段的木馬能夠從文件系統中隱藏起來,做到“無文件”攻擊31。其他“無25https:/ 使用 PowerShell 執行來自互聯網的可執行文件32;“盲眼鷹”組織的多階段
61、無文件內存加載等33。4.橫向移動:敏感服務仍為眾矢之的,橫向移動:敏感服務仍為眾矢之的,CS 工具被逐步替代工具被逐步替代一方面一方面,內網的域控制器內網的域控制器、OA 等敏感服務等敏感服務,始終是攻擊者始終是攻擊者青睞的入侵目標青睞的入侵目標。如,“虎木槿”組織通過入侵內網 OA 系統,替換 OA 系統網盤上的常用工具,對目標進行內網水坑攻擊34?!笆孢m熊”組織利用 Windows 冷門功能“憑據漫游”進行提權,進而達到寫入文件目的35,該組織還會通過 SFTP、端口轉發、RDP 等方式,利用多憑證實現多鏈路跳板橫移36。此外,某些情況下受害目標的無意識傳播也會幫助攻擊者達到橫向移動的目
62、的。如,APT36、Fin7 等組織曾通過 USB 蠕蟲投放的方式進行傳播37。另一方面,另一方面,CS 工具或被逐步替代工具或被逐步替代。長期以來,后滲透框架CobaltStrike(CS)因其具有較先進的對抗能力與良好的可用性,一直是各 APT 組織在橫向移動階段最常用的工具之一。然而,2022 年爆出的 RCE 漏洞使 CobaltStrike 工具備受質疑,各大 APT組織開始探索該工具的替代品。包括“舒適熊”、FIN12、TA55132https:/ Sliver 的開源進攻工具的使用頻率38,通過植入定制化木馬程序的方式,使用獨立的 Sliver C2 服務器控制受害者主機;部分
63、APT 組織還在嘗試使用另一種名為 Brute RatelC4 的后滲透框架,該框架同樣具有與 CobaltStrike 相似的能力,支持隱蔽的 C2 控制通信39,且可避免防病毒和 EDR 保護的檢測;除此之外,其他知名后滲透平臺如 NightHawk、Manjusaka 等也被認為有接替 CobaltStrike 的可能性。5.命令控制:命令控制:IoT 設備與公共內容平臺成為重要跳板設備與公共內容平臺成為重要跳板在構建攻擊流程時,APT 組織通常會構建一類用于轉發木馬控制指令的跳板設備,從而避免攻擊資產和控制人員被溯源。一是一是物聯網(物聯網(IoT)設備設備成為重要成為重要跳板跳板。以
64、“海蓮花”為代表的具有較高流程構建能力的 APT 組織開始探索將 IoT 設備作為跳板的新型攻擊流程。攻擊者首先通過名為“雙頭龍”和 Buni 的IoT 木馬程序控制大量 IoT 設備,再通過這些 IoT 設備進行流量轉發,使其成為木馬程序與真實 C2 之間的跳板節點40,被利用的 IoT 設備包括各類公網路由器與攝像頭等。二是二是通過公共內容平臺轉發控制指令通過公共內容平臺轉發控制指令。Kimsuky 組織在 2022年使用了一種將 OneDrive 作為跳板的 KimAPosT 木馬程序,能夠通過讀取指定 OneDrive 鏈接中的內容,決定后續攻擊方式或38https:/ C2 的連接方
65、式41;另一起針對東歐國家的 APT 活動中,攻擊者使用的一種名為 Graphite 的木馬程序可以與指定 OneDrive 賬號連接,接收該賬號目錄中的控制指令并返回指令執行結果42。三是頻繁使用在線服務三是頻繁使用在線服務。如如,Evilnum 使用世界上最大的在線服務,如 YouTube、Google+和 WordPress 等,作為 DDR 來執行有效的隱蔽命令和控制功能43。6.滲出滲出:商業服務與網絡代理被廣泛使用:商業服務與網絡代理被廣泛使用近年來,APT 組織越來越多地利用商業化服務或接口來存儲滲出的數據。如,DarkPink 在其 2022 年的網絡攻擊活動中廣泛使用一種基于
66、 TelegramAPI 的竊密工具,這種工具可以將竊取到的文件合并為壓縮包,再通過 Telegram 接口發送給攻擊者控制的 Telegram 機器人44。此外,APT 組織開始在遠程服務器上搭建 VPN 程序,從而避免在數據泄露過程中遭遇“不可能旅行”(impossible travel,一種基于通信雙方地理位置判斷異常通信的檢測技術)類檢測。2022 年,微軟標記為 DEV-0537 的 APT 組織在其使用的 VPS 服務器中搭建了 NordVPN 作為出口,從而使竊密工具能夠連接與受害者主機地理位置相近的遠程服務器,使數據傳輸過程更為可41http:/ C2 信道;另外,DNS 劫持
67、48、DNS隱蔽傳輸49也常被使用。(二)偽裝手段盛行(二)偽裝手段盛行區別于傳統攻擊者使用“猛擊”和“強奪”的手法,成熟的 APT組織在組件和流程設計上更為靈活和細致,并借助更多偽裝手段與工具隱藏行為痕跡、規避檢測,減少暴露和被溯源風險。1.設置假旗(設置假旗(False Flag)部分APT組織善于采用假旗手段干擾研究人員的溯源判斷。2022 年 7 月,Securonix 發布安全報告,曝光某 APT 組織針對捷克、波蘭等國家的網絡竊密行動中使用了朝鮮背景 ScarCruft 組織的慣用竊密木馬“Konni”,但同時活動中使用的 IP 地址、服務運營商、甚至主機名均與 APT 28 組織
68、存在歷史數據關聯情況,使得最終的溯源結論依然成迷50。另外,印巴雙方網絡戰持續焦灼,印方“肚腦蟲”組織與巴方“透明部落”兩個敵對組織不斷的互45https:/ Web 服務隱藏服務隱藏攻擊者可以將合法 Web 服務作為 C2 信息傳遞點,通過 Web服務托管混淆 C2 基礎設施,防止 C2 基礎設施被逆向分析發現,還可以動態更改 C2 基礎設施以實現操作靈活性。攻擊者也可以通過合法 Web 服務進行雙向通信,利用 Web 服務向受感染的系統發送命令并從受感染的系統接收輸出,如可以通過流行網站和社交媒體托管 C2 指令。攻擊者還可以利用合法 Web 服務進行單向通信,通過 Web 服務僅向受感染
69、系統發送命令,而不接收響應。Web 服務通常使用 SSL/TLS 加密,為攻擊者提供更高級別的保護。3.精準識別受害人身份精準識別受害人身份為對抗安全人員分析,降低自身攻擊武器及技戰法曝光風險,大量 APT 組織采用了受害主機信息驗證識別、IP 訪問白名單、合法網站重定向等多種訪問控制手段,精準判別目標人員身份,確保攻擊武器投向真正目標用戶。如,Kimsuky 在 2022 年 8 月份的網絡竊密活動中,故意在受害者主機內寫入拼寫錯誤的字符串“Chnome”(仿冒 Chrome),受害主機在訪問攻擊者后臺時會攜帶上述特殊字符,這使得攻擊者可以輕易分辨目標身份,有效對抗安全分析人員,實現攻擊武器
70、精準投遞。其他案例包括:“月51https:/ 利用宿主機信息對載荷進行保護53;XDSpy 組織的釣魚郵件中的惡意腳本僅針對特定用戶名用戶54等。4.開展開展跨跨系統系統、跨、跨平臺平臺攻擊攻擊2022 年,網絡攻擊泛在化、跨域性趨勢愈發凸顯,多個 APT組織向跨系統、跨平臺方向發展?!昂I徎ā?022 年底使用的 Torii遠控是其最新的針對 Linux 主機、服務器和物聯網平臺的遠控工具,功能豐富,適配廣泛,支持生成如 ARM、x86、x64、MIPS、SPARC、PowerPC、SuperH、Motorola 68000 等 CPU 架構的載荷55。ScarCruft 針對 Windo
71、ws 系統和 Android 移動設備也開展了跨平臺攻擊。5.濫用合法憑證濫用合法憑證合法憑證濫用是 APT 攻擊中最常用的技術手段之一,通常包括竊取、偽造或濫用合法憑證(如用戶名和密碼或密碼 hash、數字證書、OAuth 令牌等)來獲取對目標系統或網絡的訪問權限。攻擊者可以利用這些憑證來隱藏其活動、訪問敏感信息或執行惡意操作。2022 年,IBM 和 Ponemon 機構對美國的 550 個曾發生數據泄露的組織的研究顯示,合法憑證濫用是導致數據泄露的最主要的攻擊初始向量之一(19%),且檢測此類技巧導致的數據52https:/ 8 個月)。(三)漏洞利用成為重要切入點(三)漏洞利用成為重要
72、切入點各 APT 組織不僅追求穩定、高效的漏洞利用技術,在漏洞的選擇上更追求易用性、時效性以及是否能獲取目標控制權限的攻擊能力,零日漏洞、在野漏洞、供應鏈漏洞利用日益增多。1.零日零日漏洞利用漏洞利用2022年雖與2021年同期披露的APT攻擊利用的零日漏洞的數量有所減少,但利用數量仍處于高位。一些攻擊能力較高的APT 組織通常會通過零日漏洞進行攻擊,“海蓮花”等組織均具備挖掘并利用零日漏洞的能力。2.在野在野漏洞利用漏洞利用近年來,隨著已識別和公開披露的漏洞數量逐年增加,APT組織越來越多地利用在野漏洞作為初始攻擊媒介。2022 年,Microsoft Office 漏洞(CVE-2017-
73、11882 等)、Microsoft Exchange漏洞(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207 等)雖為歷史漏洞,但由于其影響因素及危害程度,仍然是 APT 組織的“香餑餑”。2022 年 6 月,卡巴斯基曝光的 ToddyCat 針對阿富汗、馬來西亞和巴基斯坦的工控系統的攻擊正是基于未打補丁的 Microsoft Exchange 中的漏洞攻破。一些打過補丁的漏洞仍然具有“殺傷力”,2022 年 6 月,APT 組織“Blue Mockingbird”被曝光利用三年前的 Telerik UI 漏洞攻陷服務器56。56https:/ 組織利
74、用的有力工具。2022 年上半年曝光的 Spring4Shell漏洞依舊是網絡安全事件的“策源地”,越來越多的 APT 組織對該漏洞進行武器化改造,以此開展網絡攻擊。2021 年 11 月曝光的Log4j漏洞也仍在被黑客不斷利用,美國Check Point公司2022年初檢測到“迷人小貓”組織正在利用 Log4j 漏洞進行攻擊并在Windows PowerShell 中植入一種新型后門57。8 月,微軟檢測到“污水”使用 SysAid 應用程序中的 Log4j 2 漏洞攻擊以色列組織58。deploy-cobalt-strike/57https:/ 年重點組織概覽年重點組織概覽在全球 APT
75、組織宏觀圖景下,各 APT 組織作為重要的行為體,形成各具特色又能反映整體態勢的微觀“窗口”。2022 年,傳統 APT 組織“陽謀”盡顯同時升級其 TTPs,不斷迭代其工具集并擴展活動范圍;新興 APT 攻擊活動“陰謀”涌現,新招怪招頻出,擴大攻擊面,升級技術手段,形成不容忽視的新威脅主體。(一)傳統組織新動向(一)傳統組織新動向1.“毒云藤毒云藤”改進改進定向釣魚定向釣魚“毒云藤”59善用魚叉式釣魚網絡攻擊,主要選取與攻擊目標貼合的誘餌內容,慣用的主題包括通知、會議材料、研究報告等,或是采用攻擊時間段的時事主題。2022 年,“毒云藤”深化對目標對象的調研,改進攻擊技術,開始將文件名、郵箱
76、名硬編碼到釣魚鏈接中,實現定向釣魚,且在同一個釣魚域名下存放不同的文件,以此對抗安全探測,增加攻擊活動溯源難度60。2.“海蓮花海蓮花”提升免殺技巧提升免殺技巧“海蓮花”61社會工程學技巧嫻熟,常用魚叉攻擊水坑攻擊,在近年來的攻擊活動中不斷升級自己的攻擊手法,通過白利用、多階段加載、代碼混淆加密等手段加強隱蔽性,還采用了供應鏈59又名“綠斑”、APT-C-01,是一個長期針對我國政府機構、國防軍工、海事、科研等領域持續發起攻擊的 APT 組織,活動可追溯到 2007 年。60分析來自 360 高級威脅研究院61活動可追溯至 2012 年,長期針對我國及其他東亞國家(地區)政府、科研院所、海事機
77、構、科研等相關重要領域展開有組織、有計劃、不間斷的網絡攻擊,后擴展至柬埔寨、泰國、老撾、歐洲地區等,攻擊目標包括異見人士、人權代表、媒體、環保組織等。44攻擊手法對高價值目標進行滲透。2022 年,“海蓮花”的新動向包括:一是一是采用更加多樣化的載荷程序來實施攻擊活動,包括采用一種較為小眾的 Nim 語言編寫開源工具,來作為其交付CobaltStrike Beacon 的載荷,以此做到免殺62。二是二是注重同安全軟件和技術人員的對抗,用以提高自身的隱蔽性。三是三是使用 Torii特馬作為流量隱藏和跳板長期控制 IoT 設備63。3.“拉撒路拉撒路”更新惡意軟件感染方式更新惡意軟件感染方式“拉撒
78、路”64擅長利用社會工程學攻擊手法。2022 年以來,“拉撒路”以金融加密平臺為主要攻擊目標,同時在 TTPs 上進行了升級:一是一是使用 GitHub 作為 C2 開展攻擊,使安全產品很難區分惡意內容和合法內容;二是二是更新惡意軟件感染方式,在使用的惡意軟件集群 DeathNote 投遞過程中加入了 wAgent 惡意軟件65;三三是是更新攻擊加密貨幣與區塊鏈相關領域的技術,采用 MSI 文件執行嵌入腳本的方式來執行其惡意載荷。四是四是發展供應鏈攻擊能力,在其使用的網絡間諜工具框架 META 中不斷更新供應鏈攻擊能力。4.“迷人小貓迷人小貓”提升社會工程攻擊方式提升社會工程攻擊方式“迷人小貓
79、”66以政治動機和社會工程學攻擊而著稱,經常將62分析來自知道創宇 APT 威脅情報團隊63分析來自微步在線 APT 威脅情報團隊64活動可追溯至 2007 年,重點針對韓國、美國等進行滲透攻擊,并且長期以數字貨幣、金融、航空航天、軍工為目標行業。65https:/ 2012 年,攻擊目標聚焦于伊朗專家、人權活動人士和媒體人員。45網絡釣魚用作攻擊媒介。2022 年,該組織使用啟用宏的模板文件,并使用一種名為“Hyperscrape”的新型工具來竊取 Gmail、雅虎和微軟 Outlook 收件箱67。該組織還被捕獲到利用多角色模擬(MPI)的攻擊活動,即使用多個角色攻擊研究人員,利用社會心理
80、學原理,將其社會工程提升到一個新的水平68。5.“蔓靈花蔓靈花”增加惡意負載隱蔽性增加惡意負載隱蔽性“蔓靈花”69擅長利用魚叉郵件以及系統漏洞等方式展開攻擊。2022 年,“蔓靈花”在攻擊目標和攻擊方式上有一定的變化,一是一是攻擊目標首次擴至孟加拉國70,基于一種新木馬(ZxxZ)實施遠程文件執行。二是二是在針對新西蘭、印度、巴基斯坦和英國用戶的網絡間諜行動中分發安卓間諜軟件 Dracarys71。三是三是增加惡意負載隱蔽性。與以往 CHM 創建計劃任務實現持久化相比,該組織2022 年活動中的 CHM 樣本可將同目錄下的 PE 文件進行自復制實現持久化并且偽裝成系統文件72,更具隱蔽性。6.
81、“摩訶草摩訶草”更新木馬工具更新木馬工具“摩訶草”73攻擊手法以釣魚攻擊為主,以少量水坑攻擊為輔,67https:/therecord.media/google-says-iranian-group-using-tool-to-download-gmail-yahoo-outlook-inboxes/68https:/ 2013 年,長期針對中國、巴基斯坦等國政府、軍工業、電力、核等單位進行攻擊。70https:/ 2009 年,主要針對中國、巴基斯坦等國家的政府、醫療、科研等領域。46善于攻擊未打補丁的 Office 套件。2022 年,“摩訶草”在針對我國的攻擊活動中應用了跟以往不同的木馬
82、工具74:一是一是 Patchinfecter木馬,該木馬遍歷機器上最近打開的文檔,并注入惡意代碼,如果受害者將文檔共享給其他人,那么該受控機器的其他聯系人也會成為新的受控者。二是二是 Infectedloader 木馬,該木馬利用微軟MHTML 遠程命令執行漏洞進行后續木馬傳播,攻擊者可通過傳播微軟 Office 文檔,誘導目標點擊文檔從而在目標機器上執行任意代碼,這也是南亞地區首個利用該遠程代碼執行漏洞進行攻擊的 APT 組織。三是三是 Ragnatela 木馬,“摩訶草”建立了 Ragnatela遠程管理木馬的變體,主要通過魚叉式網絡釣魚郵件傳播給巴基斯坦目標。7.“舒適熊舒適熊”攜新隱
83、藏工具攜新隱藏工具“回歸回歸”“舒適熊”75擁有出色的滲透能力,在 2022 年被發現76在其攻擊清單中加入了一種被稱為 MagicWeb 的后滲透工具,用于保持對被目標的持續訪問和橫向移動。MagicWeb 工具將 ADFS 使用的合法 DLL 替換為惡意版本,以操縱用戶身份驗證證書并修改受感染服務器生成的令牌中傳遞的聲明,使攻擊者能夠在需要權限訪問的系統上執行任何惡意活動。74來自知道創宇 APT 威脅情報團隊75活動可追溯至 2008 年,主要以搜集情報以支持外交和安全政策的決策,主要攻擊目標為歐洲及北約成員國的政府部門,常用工具包括各種 Windows 平臺下的后門程序、信息竊取器以及
84、魚叉式釣魚郵件。76http:/ 提升反溯源技術提升反溯源技術Kimsuky77擁有功能完善的惡意代碼武器庫,慣用社會工程學、魚叉郵件、水坑攻擊等手段投遞惡意軟件,攻擊使用的誘餌話題以半島地緣政治為主,輔以經濟民生、工程項目、加密貨幣等話題進行攻擊。近年來,Kimsuky 不斷采用復雜技術來阻礙溯源和歸因。2022 年 8 月,卡巴斯基報告稱,Kimsuky 一直在采用新技術過濾無效下載請求78,以提升反溯源技術。9.“響尾蛇響尾蛇”升級升級免殺手法免殺手法“響尾蛇”79慣常采用魚叉攻擊的方式,2022 年主要在免殺手法上進行了升級,如字符串及傳輸數據均使用新的加密方式、C2利用域名白名單機制
85、逃避檢測、釋放惡意負載的路徑更加隱蔽以及通過白利用達到惡意負載在目標機器的持久化駐留。此外,該組織構建的釣魚網站中會根據 IP 篩選目標群體,針對非目標群體則將網站重定向至合法頁面。10.“污水污水”善用多種惡意軟件善用多種惡意軟件“污水”80慣常采用魚叉式網絡釣魚、已知漏洞利用以及多種開源工具訪問敏感的政府和商業網絡。截至目前,“污水”已使用多種惡意軟件家族,包括 PowGoop、Canopy/Starwhale、Mori、77活動最早可追溯至 2012 年,非常善于利用復雜的東北亞地緣政治局勢制作誘餌,頻繁針對韓國國防、教育、能源、政府、醫療以及智囊團等領域發動攻擊。78https:/ 2
86、012 年披露,主要針對巴基斯坦、中國及其他東南亞國家的政府、軍事目標。80活動追溯至 2018 年,主要針對電信、國防、地方政府以及石油和天然氣等實體,受害者主要分布在巴基斯坦、沙特阿拉伯、土耳其和伊拉克等國家。48Powerstats 的變種以及新家族 Small Sieve。2022 年,“污水”在TTPs 上的新動向主要是利用“金絲雀令牌”81跟蹤目標是否成功感染,意在規避沙盒檢測。(二)新興組織新特點(二)新興組織新特點1.“金剛象金剛象”仿冒小眾聊天軟件仿冒小眾聊天軟件攻擊安卓攻擊安卓平臺平臺“金剛象”(VajraEleph)82是 2021 年開始活動的具有印度背景的 APT 組
87、織,最初主要以巴基斯坦軍方人員為目標開展有組織、有計劃、有針對性的軍事間諜情報活動。經過一年多的持續攻擊,該組織已經影響到巴基斯坦、阿聯酋、尼泊爾、沙特阿拉伯、斯里蘭卡、馬爾代夫等國家,攻擊活動具有強烈的軍事意圖。2022 年 7 月,“金剛象”再次針對巴基斯坦軍方人員實施攻擊活動,并優化攻擊武器83?!敖饎傁蟆惫艋顒拥娘@著特點是主要針對安卓平臺,通過將惡意軟件偽裝成小眾化的聊天應用,在幾大社交平臺上進行魚叉攻擊或利用聊天應用開展話術釣魚,誘導受害者下載安裝惡意軟件,進而獲取受害者設備中的通訊錄、短信、通話記錄、音視頻、文本文檔、相冊等敏感數據。2.Polonium 組織組織善于利用善于利用
88、云服務進行命令與控制云服務進行命令與控制Polonium是2022年6月由微軟首次公開披露84的APT組織。81金絲雀令牌是 honey 令牌的一個子集,當使用時,會觸發假憑證的警報由于憑證不是真實的,它們永遠不會被合法的工作人員使用,因此任何使用金絲雀令牌訪問資源的嘗試都是妥協的高可信度標志。82https:/ 年期間入侵了 20 余家以色列組織。Polonium 在攻擊活動中大量使用云服務對受害者進行命令與控制,如,創建合法的微軟OneDrive 賬戶和 Dropbox 賬戶,分別利用其提供的云計算資源和云存儲資源,對受害者執行命令和控制,并竊取和存儲數據。3.HIVE0117 傳播部署傳
89、播部署“無文件無文件”惡意軟件惡意軟件2022 年 4 月,IBM 發布報告稱,在東歐發現了一系列新的網絡釣魚活動,傳播部署“無文件”惡意軟件 DarkWatchMan。DarkWatchman 是一種基于 JavaScript 的惡意遠程訪問木馬,使用域生成算法(DGA)來識別 C2 基礎設施,并用于“無文件”持久性、系統活動和動態運行時功能(如自我更新和重新編譯)的新方法。IBM 將實施該網絡攻擊活動的組織命名為 Hive0117,該組織偽裝成來自俄羅斯政府聯邦執法機構,構造俄語電子郵件發送給立陶宛、愛沙尼亞和俄羅斯電信、電子和工業部門的用戶,誘騙受害者安裝 DarkWatchMan 木馬
90、軟件85。4.“穆倫鯊穆倫鯊”擅長擅長多手段對抗多手段對抗“穆倫鯊”是一個活躍于中東地區的新型威脅實體,主要攻擊目標國家為土耳其,已發現的目標包括北塞浦路斯地區高校、土耳其軍隊和土耳其國家科研機構?!澳聜愼彙钡闹饕羰址òㄍ哆f釣魚文檔與攻擊線上服務,目的包括擴充攻擊資源、滲透目85https:/ 利用利用 VPN 服務進行匿名化服務進行匿名化Agrius 組織是 2021 年 5 月披露的新組織86,主要利用ProtonVPN 匿名訪問受害者的系統并部署 WebShell,使用的WebShell 大多是開源惡意軟件 ASPXSpy 變體。這些 WebShell被用來導入流量,以便利用已竊取
91、憑證,借助遠程桌面協議進行橫向移動。6.Metador 將惡意軟件直接部署到內存中Metador87是 2022 年 9 月新披露的 APT 組織,主要針對中東和非洲部分國家的電信、互聯網服務提供商和大學開展竊密活動。Metador 旨在繞過本地安全解決方案,同時將 MetaMain 和Mafalda 惡意軟件直接部署到內存中。其中,MetaMain 是一個功能豐富的后門,也是一個植入框架,用于維護對受感染機器的長期訪問,為攻擊者提供了如鍵盤和鼠標事件記錄、截圖盜竊、文件下載和上傳,以及執行任意 shellcode 的能力。7.TAC-040 利用利用遠程代碼執行遠程代碼執行漏洞部署后門漏洞部
92、署后門TAC-04088是 2022 年 8 月新披露的 APT 組織,主要利用遠86https:/ Atlassian Confluence 軟件漏洞,并利用 Spring4Shell漏洞來獲得對 Confluence Web 應用程序的初始訪問權限。初始入侵后,攻擊者運行多個命令來獲取本地系統、網絡和活動目錄環境,隨后會在受害者的服務器上部署新的永久化后門 Ljl。它能實現收集文件和用戶帳戶、加載任意.NET 有效負載、收集系統信息以及受害者的地理位置等多種功能。在目標系統實現持久化駐留后,TAC-040 會從 GitHub 上克隆 NetRipper、PowerSploit、Invoke
93、-Vnc 等開源工具,以收集更多高價值信息。8.Modified Elephant 植入偽造的數字證據來實施陷害植入偽造的數字證據來實施陷害Modified Elephant(又名暗象、Dark Elephant)是 2022 年 2月新披露的一個活躍長達的十年的威脅組織89。該組織主要針對印度活動家、人權捍衛者、記者、學者以及法律專業人士開展長期監視,在方便協調的逮捕行動之前交付“證據”,指控目標犯有特定罪行的檔案。Modified Elephant 在技術上并不令人注目,但其近十年來一直逃避偵查,用過時的鍵盤記錄器和現成的 RAT入侵了人權倡導者的系統。該組織首選的惡意軟件包括 NetWi
94、re、DarkComet 和簡單的鍵盤記錄器。9.Dangerous Savanna 惡意攻擊金融機構惡意攻擊金融機構Dangerous Savanna90是近兩年新出現的針對非洲法語區金融機構的 APT 組織。攻擊者主要使用魚叉式網絡釣魚作為初始感89https:/ Gmail 和 Hotmail 服務向至少五個不同法語國家的中大型金融集團員工發送帶有惡意附件的電子郵件。感染成功后,Dangerous Savanna 在受感染的環境中安裝自有工具,工具基于Metasploit、PoshC2、DWservice 和 AsyncRAT 等開源項目。此外,攻擊者善于使用 PDF 文件引誘用戶下載并
95、手動執行 VBE 或JAR等文件,以實現直接加載PoshC2植入程序,或通過釋放LNK文件以加載 PoshC2,該植入程序可用來控制受感染機器。10.Lyceum 利用利用開源工具執行開源工具執行“DNS 劫持劫持”攻擊攻擊Lyceum(又名 Hexane、Siamesekitten),最早于 2018 年披露91,其目標是中東地區的石油和天然氣公司。Lyceum 曾使用DNS 隧道后門攻擊中東通信服務提供商。2022 年,Lyceum 被發現使用了一種新的基于 DIG.NET 開源工具的 DNS 后門,用于執行“DNS 劫持”攻擊、執行命令、釋放更多有效載荷并竊取數據。91https:/ A
96、PT 組織的持續活躍和大量新興 APT 組織的不斷涌現,APT 將作為網絡空間重要力量持續塑造“網緣”政治,并呈現出以下趨勢:(一)(一)APT 攻擊攻擊與與國家戰略國家戰略方向同頻共振方向同頻共振APT 組織儼然已成為實現國家戰略目標的“先遣隊”,是配合網絡空間國家戰略布局的重要力量。1.配合現實軍事戰爭配合現實軍事戰爭俄烏沖突中,多個國家級 APT 組織在網絡空間層面扮演了偵察、破壞、監視等攻擊角色,在情報收集、輔助打點、動向觀察等方面協助推進實體作戰行動。APT 組織資源充足,與一些國家政府深度捆綁,充當政府的“雇傭兵”或直接隸屬于政府的軍事網絡部門,可獲得政府的情報信息和零日漏洞工具支
97、持,成為實現國家利益的重要方式途徑。2.上升為政治上升為政治“籌碼籌碼”對 APT 攻擊的歸因、調查、披露等行為的政治意味日益突出,并成為區域關系變化的信號。俄烏沖突中,俄羅斯住房部網站遭到黑客攻擊后,俄外交部就曾公開表示,如果西方政府繼續對其基礎設施進行網絡攻擊將會導致“直接軍事沖突”。2022 年 9月,阿爾巴尼亞政府指責伊朗 7 月對其政府基礎設施開展的網絡攻擊,并斷絕外交關系。無論是威脅使用武力回擊還是直接外交回應網絡攻擊,網絡攻擊行為與現實國家行為已經出現聯動的趨54勢,APT 攻擊活動甚至成為地緣沖突的“導火索”。3.關基關基仍是仍是重點重點目標目標關鍵基礎設施一直都是 APT 重
98、要目標,這一趨勢在 2023 年將更為明顯。未來針對關鍵基礎設施和重要信息系統的 APT 攻擊必然會持續增加,特別是針對重要民用基礎設施的攻擊將帶來直接的物理破壞,APT 攻擊也將成為網絡空間與物理社會相互影響的最為直接的體現。(二)(二)APT 組織組織攻防較量更趨復雜攻防較量更趨復雜在長期地緣沖突中,APT 組織之間、APT 組織與安全企業之間的攻防較量更為復雜和激烈。1.敵對敵對 APT 組織組織在攻擊手段上在攻擊手段上對抗化發展對抗化發展近年來,隨著攻擊量不斷增長,部分 APT 組織吸收融合其他組織尤其是敵對方組織的攻擊策略,提升攻擊效率以滿足攻擊需求。如,活動于南亞地區的 Sidec
99、opy 組織主要是為對抗來自印度的“響尾蛇”(Sidewinder)組織而成立,其早期的行動中的TTPs完全模擬“響尾蛇”,因此才得名Sidecopy。2022年,SideCopy疑似針對印度國防部開展攻擊,樣本攻擊流程仍然以模仿“響尾蛇”為主,增加溯源難度。2.新老組織在攻擊目標和手段上交織融合新老組織在攻擊目標和手段上交織融合共享基礎設施、惡意軟件編碼、武器庫在 APT 組織中日益普遍,如,“蔓靈花”“摩訶草”“摩羅桫”三大印度 APT 組織之間互相共享代碼、工具“同根同源”度高?!岸悄X蟲”在一些攻擊活動中55使用的工具特征和網絡基礎設施,與“蔓靈花”“摩訶草”存在重疊,不排除這些組織由更
100、高層級的機構領導協調的可能性。3.網絡安全企業逐漸成為攻防主體網絡安全企業逐漸成為攻防主體近年來,網絡安全企業開始從“幕后”走到“臺前”,除曝光攻擊者的 TPPs 來使其效力“失效”,配合政府實施 APT 的公開歸因溯源,還直接參與到 APT 攻擊的攻防對抗。如,微軟禁用用于監視、網絡釣魚和電子郵件收集的帳戶以破壞俄羅斯黑客組織Seaborgium 對北約目標的行動。此外,網絡安全企業日益深入地參與到現實軍事沖突以及 APT 組織之間的沖突,其自身也正在成為 APT 組織攻擊的新目標,APT 組織以攻擊網絡安全企業作為展示其自身能力的絕佳渠道,并收集相關安全產品的源碼以及客戶信息等,以便為未來
101、對其客戶的入侵做準備。(三)供應鏈成為(三)供應鏈成為 APT 攻擊新目標攻擊新目標通過入侵軟件供應商并污染上游軟件代碼的供應鏈攻擊技術,具有隱蔽性高、影響面廣、邊界突破能力強、檢測防御困難等優勢,與 APT 組織的訴求高度吻合,因此越來越多的 APT 組織在謀求建立供應鏈攻擊能力。1.APT 組織持續提高軟件供應鏈攻擊能力組織持續提高軟件供應鏈攻擊能力軟件供應鏈一直是 APT 的重要攻擊切入面,相關組織包括“舒適熊”、Tallium、UNC2546、“拉撒路”等。攻擊軟件供應鏈主要是利用該領域軟件的受信性和規模性,通過較小的代價突破目標網絡進而獲取訪問權限,成為獲取情報、干擾對手的有力手段。
102、56微軟甚至表示,APT 威脅行為者比供應鏈中的組織本身更了解組織信任關系的情況。2.針對開源軟件的針對開源軟件的 APT 的活動增加的活動增加目前,國內外現有大量的系統、軟件都是基于開源架構,開源軟件利用門檻低,影響范圍廣,可導致設備遠程受控,這些特征使其成為 APT 組織利用的新渠道。近年來,APT 組織正是利用了開源軟件缺乏審查機制的缺陷,發掘了針對 Web 應用、第三方軟件庫的劫持或投毒等攻擊技術,實現“暗度陳倉”完成攻擊。2022 年,已有 APT 組織瞄向 Python 開源生態,進行了針對開源存儲庫的混淆攻擊和針對 Python 開發人員的網絡釣魚攻擊92。3.邊界設備成為實施邊
103、界設備成為實施 APT“突破口突破口”當前,海量的網絡設備和物聯網設備普遍存在脆弱性問題,成為滿足 APT 資源需求的絕佳來源。通過控制第三方網絡設備作為跳板,APT 組織可以用極低的成本發動高隱匿性的網絡攻擊行動。另一方面,部分 APT 組織展現出將攻擊網絡設備當作入侵起點的趨勢。這些 APT 組織不再以控制網絡設備為目標,而是利用這些設備的邊界屬性,繞過攻擊目標的防御策略,實現入侵和橫向移動等操作。(四)針對新技術新應用的(四)針對新技術新應用的 APT 攻擊攻擊持續增加持續增加APT 組織持續探索在新技術領域的攻擊能力,區塊鏈、人工92https:/ APT 攻擊目標。1.區塊鏈區塊鏈
104、APT 攻擊攻擊呈現生態化的特征呈現生態化的特征近幾年,隨著區塊鏈技術的迅猛發展,區塊鏈技術在數字貨幣、金融領域得到廣泛應用,對交易所、錢包、礦池等區塊鏈基礎設施的 APT 攻擊頻率增加。攻擊者主要利用區塊鏈基礎設施安全防護環節和安全運營環節的隱患和漏洞,實施數字貨幣盜取、敏感數據泄露等攻擊行動。如,美國網絡安全和基礎設施安全局(CISA)、聯邦調查局和財政部通報“拉撒路”組織利用社會工程學誘使加密貨幣公司的員工下載和運行惡意 Windows 和 MacOS 加密貨幣應用程序,竊取允許區塊鏈交易的私鑰,并進而竊取受害者的加密資產。2.云基礎設施正在成為云基礎設施正在成為 APT 新戰場新戰場云
105、計算技術的迭代更新推動著云技術架構和應用模式不斷演進,使得云服務面臨的安全風險日益多元化、復雜化、擴大化,云及其關鍵組件正在成為安全攻防的新戰場。云平臺服務商對接多個客戶,使得 APT 組織可“一石多鳥”入侵多個目標,也在一定程度上提升了攻擊者的攻擊效益,刺激 APT 組織關注并挖掘更多云環境漏洞。3.空間技術領域空間技術領域成為成為 APT 攻擊新目標攻擊新目標隨著空間技術的發展以及戰略意義的凸顯,APT 組織越來越多地將注意力轉向對空間技術的操縱和干擾,衛星技術開發商、生產商和運營商將成為 APT 組織攻擊目標。如,俄烏沖突中的58Viasat 攻擊事件將在未來戰爭中趨于常態。(五)(五)
106、APT 攻擊攻擊“勒索化勒索化”趨勢越來越明顯趨勢越來越明顯無論是 APT 攻擊“勒索化”還是勒索攻擊“APT 化”均是近年來的典型趨勢。APT 組織使用復雜的手段攻擊企業甚至關鍵基礎設施,并植入勒索軟件,在針對政府、醫療、交通、管道運輸等關鍵基礎設施的攻擊中尤為凸顯。1.傳統傳統 APT 組織利用勒索軟件獲取經濟利益組織利用勒索軟件獲取經濟利益勒索軟件是一種常見的惡意軟件,往往針對具有經濟利益的目標采取“阻斷訪問式攻擊”。隨著勒索軟件的升級以及勒索手法的不斷演進,一些老牌 APT 組織開始嘗試利用這種新手段,開展針對關鍵基礎設施的攻擊。在此策略下,攻擊者往往通過漏洞利用、社會工程或各種其他手
107、段獲得對目標網絡的非授權訪問,隨后投放勒索軟件。如,2017 年曝光的 NotPetya 勒索軟件致使全球眾多商業銀行以及部分私人公司、零售企業和政府系統遭到嚴重的網絡攻擊,“沙蟲”組織就被發現利用該軟件實施攻擊。2.加密貨幣成為加密貨幣成為 APT 重點重點目標目標隨著加密貨幣價格的飆升,以及非同質化代幣(NFT)和去中心化金融(DeFi)業務的普及,加密貨幣成為 APT 組織的重點目標。美國聯邦調查局(FBI)警告稱,網絡攻擊者正在越來越多地利用 DeFi 平臺的安全漏洞來竊取加密貨幣,其中在 2022年 1 月至 2022 年 3 月期間被盜的價值 13 億美元比特幣中,59近 97%來
108、自 DeFi 網站93。在此類針對加密貨幣的攻擊中,攻擊行為與加密貨幣的漲跌具有較強的相關性。美 FBI 披露,來自朝鮮的APT組織較為頻繁地開展加密貨幣攻擊,“拉撒路”在2021年竊取的加密貨幣高達 3.9 億美元94,新興的 APT 組織也將目標對準加密貨幣,如,“NativeCopy”利用加密貨幣相關的內容和執法部門的警告作為誘餌,攻擊了韓國的股市和加密貨幣投資者。3.APT 攻擊與勒索攻擊實現模式融合攻擊與勒索攻擊實現模式融合當前,勒索組織與 APT 組織的界限越來越模糊,一些勒索組織綜合利用魚叉攻擊、商品化與定制化惡意軟件、遠端控制工具、漏洞利用等。如,朝鮮勒索組織 DEV-0530
109、 利用 H0lyGh0st勒索軟件來攻擊全球中小型企業,手段與方式與 APT 組織已無差異95。此外,一些 APT 組織逐漸采取勒索組織慣用的“入侵+泄露”的行動模式,具體手法包括突破目標、竊取情報以及公開發布內部信息,以達到破壞目的。(六)(六)APT 事件調查事件調查呈現呈現強烈的政治化趨勢強烈的政治化趨勢作為網絡空間中能夠反映國家意志的攻擊形式,APT 攻擊政治化傾向日益明顯。針對 APT 的歸因溯源、威懾響應以及規范限制等均成為大國博弈的熱點內容。93https:/www.cysecurity.news/2022/09/fbi-hackers-usedefi-bugs-to-steal
110、.html?utm_source=dlvr.it&utm_medium=twitter94https:/cn.yna.co.kr/view/ACK2022011400180088195https:/ APT 歸因歸因證據漸趨模糊化證據漸趨模糊化歸因本是一項純“技術活”,但是在近年來越來越被頻繁地用作政治工具。美方在歸因技術上的領先是不爭的事實,但為服務于網絡威懾的國家戰略目的,近年來在歸因領域逐漸采取一種模糊化的處理。美在公布的歸因技術報告中普遍隱藏關鍵樣本分析,而多在語言文字、行為模式等外圍證據上著墨。模糊歸因一方面是為隱藏歸因技術的“關鍵環節”,以免被攻擊方利用以實施反偵察;另一方面也具有
111、隱藏技術短板擴大威懾之勢的嫌疑,即通過形式上完整的歸因報告營造技術實力強大的假象;此外,由于歸因結果可能產生巨大政治影響,模糊化的表述可以為調查方爭取更多回旋余地。2.用用“點名羞辱點名羞辱”曝光曝光 APT 組織戰技法并致失效組織戰技法并致失效近年來,美西方國家頻繁采用“點名羞辱”(Naming andShaming)的策略,即:針對一些影響范圍廣、具有高危害性的網絡事件聯合發布網絡安全公告,詳細闡述網絡攻擊者采用的TTPs,同時提供專業性的攻擊緩解和網絡防御建議措施。此類做法在網絡安全層面上,能夠對攻擊方 TTPs 起到限制作用并警示潛在受害者;同時在政治和國際關系層面上,此類做法高調宣揚
112、調查方的網絡安全能力,更是對被調查方的強烈施壓。如,2022年2月,美聯邦調查局(FBI)、網絡安全和基礎設施安全局(CISA)、美國網絡司令部網絡國家任務部隊(CNMF)和英國國家網絡安全中心(NCSC-UK)分享了關于疑似伊朗政府贊助的“污水”61(MuddyWatter)組織使用的各種惡意軟件,迫使該組織明確減少對已曝光軟件的利用,同時也進一步惡化了伊朗的國際形象。3.針對針對 APT 組織實施組織實施“精準制裁精準制裁”美西方國家逐漸將網絡歸因的結果作為司法起訴和財政制裁的“呈堂證供”,不斷通過對外公開網絡歸因結果為開展后續起訴和制裁奠定基礎。2022 年 9 月,美 FBI 和 CISA 發布伊朗針對阿爾巴尼亞的 APT 攻擊的詳細分析報告,并隨即成為美國財政部制裁伊朗的重要依據。此外,此類制裁行為還會將個人作為直接目標,通過公開發布 APT 活動相關人士的詳細信息并發布通緝令,推行“精準制裁”以實現威懾效果。