奇安信：全球高級持續性威脅（APT）2020年中報告（24頁）.pdf

1、新冠疫情在全球范圍的蔓延，導致很多公司和機構采用了遠程辦公的方式，其通常依賴于 VPN 應用接入企業內部網絡，這樣也暴露了可用于攻擊的重要攻擊入口。從歷史披露的 APT 活動來看，利用VPN 或遠程訪問的脆弱性作為攻擊入口一直較少被披露過。上半年，有國外 APT 組織利用國內某知名安全公司VPN 的漏洞實現載荷的下發。除此以外，國外安全廠商披露的Fox Kitten組織就利用了多個 VPN 漏洞訪問目標內網，其中包括針對Pulse Secure（CVE-2019-11510）、Fortinet FortiOS（CVE-2018-13379）、Palo Alto Networks VPN（CVE

2、-2018-1579）。此外，在疫情期間，DarkHotel和Wellmess組織分別利用我國廠商的VPN漏洞進行攻擊，前者在這次行動主要針對基層單位，后者則主要針對中國多家高級別科研機構。當然，無論是手法還是攻擊目標，均可見預謀已久。從上半年的全球 APT 組織和活動披露來看，APT 威脅的整體活躍水平還是保持了一個比較高的頻度，主要活躍的 APT 組織還是過去熟知的，中東地區依然是 APT 活動最為頻繁和錯綜復雜的地域，活躍著數量眾多的 APT 組織。在上半年的公開 APT 類情報中，出現了 4 個新命名的 APT 組織和活動，并且主要活躍于中東地區。1.WildPressureWildP

3、ressure 是卡巴披露的一個惡意攻擊活動 1，該活動最早于 2019 年 8 月被發現，其分發了一個成熟的 C + 木馬，并且所有的木馬文件的編譯時間戳都是相同的，均為 2019 年 3 月。唯一實現的加密是針對不同受害者具有不同 64 字節密鑰的 RC4 算法。該活動主要針對中東地區的工業相關實體。2. 諾崇獅諾崇獅是由奇安信威脅情報中心新發現并命名的一個 APT 組織 2，該組織活躍在中東地區，其最早的樣本文件可以追溯到 2013 年 9 月，在其歷史活動中通常利用社交網絡（如 Twitter，Telegram，youtube 等）進行非定向的水坑傳播式釣魚攻擊及定向目標的魚叉攻擊，并

4、主要針對移動終端實施攻擊。3.Fox KittenFox Kitten 是由國外安全廠商 ClearSky 發現并命名的中東地區APT 組織3。ClearSky在2019年第四季度發現其持續三年的攻擊活動，該團伙可能和 APT33和 APT34相關，并且也確定了 APT33和APT39之間的聯系。相關活動是通過使用各種攻擊性工具進行的，其中大多數是基于開放的源代碼，而有些是自行開發的。其還利用了 RDP 和 VPN 的漏洞。4.NazarNazar 是國外安全研究人員在OPCDE 會議上公開披露和命名的 APT 活動4，其是對ShadowBrokers 泄露資料中，TeDi簽名為SIG37的 APT 組織的歸屬。而 TeDi 簽名是某西方大國情報機構對全球其他 APT 組織和活動的跟蹤項目，并且以 sigXX 的形式代號進行命名。CrySyS實驗室在此前對 TeDi簽名 SIG37歸因為IronTiger，而此次安全研究人員對其發表了不同的結論，其實際攻擊活動可能和中東地區有關，并且最早可以追溯到2008年，并集中在2010-2013年。