安恒威脅情報中心&ampamp獵影實驗室：2020年度高級威脅態勢研究報告（29頁）.pdf

1、供應鏈中的不可信源今年 2 月，國外媒體爆出美國 CIA 秘密掌控瑞士加密通信公司克里普托 (Crypto AG)監聽對手國家的情報。瑞士公司 Crypto AG 通過向 120 多個國家、地區出售加密設備產品賺取數百萬美元，其客戶包括伊朗、拉丁美洲軍政府、核競爭對手印度和巴基斯坦，甚至梵蒂岡。Crypto AG 由美國中央情報局 (CIA) 秘密掌控，并且與德國聯邦情報局 BND 保持高度機密的合作伙伴關系。這些間諜機構通過操控這家公司，從而輕松破解各對手國發送的機密信息。監聽已持續多年，直到今年年初才被爆出，之前一直處于無聲無息的狀態。今年 4 月，黑客組織通過一些技術手段控制了某廠商 S

2、SL VPN 設備，并利用 SSL VPN 客戶端升級漏洞下發惡意軟件到客戶端，從而控制用戶機器。受影響用戶包括多個中國駐外機構、國內多各單位、街道工會等，集中在北京、上海等地。今年 6 月，Github 的安全事件響應團隊發布安全警報，惡意軟件 Octopus Scanner 正通過 GitHub 上的開源項目傳播，目的是感染開發人員的 NetBeans 構建環境，令其生成的可執行文件包含后門。并且發現了 26個開源項目被這個惡意軟件感染。今年 11 月，Lazarus 組織通過韓國軟件供應鏈來部署惡意程序，供應鏈中使用的是 WIZVERA VeraPort應用程序，用戶使用該程序來接收并安

3、裝特定網站所需的所有必需軟件(例如，瀏覽器插件，安全軟件，身份驗證軟件等)。從支持 WIZVERA VeraPort 的網站開始這種軟件安裝，需要最少的用戶交互。通常，韓國政府和銀行網站會使用此軟件。對于其中的某些網站，必須安裝 WIZVERA VeraPort，用戶才能訪問這些網站的服務。Lazarus 攻擊者濫用了上述安裝安全軟件的機制，目的是從合法但受到破壞的網站上傳播Lazarus 惡意軟件。這里供應鏈攻擊發生在使用 WIZVERA VeraPort 的網站上，而不是在 WIZVERA 本身，攻擊者可以替換這類網站上的軟件從而進行傳播。今年 12 月，政府支持的 APT 組織針對 SolarWinds 產品進行供應鏈攻擊，FireEye 將攻擊者稱為UNC2452，而接受華盛頓郵報采訪的知情人士稱攻擊者與 APT29 組織有關聯。SolarWinds 產品客戶遍布全球涉及多個行業，如美國政府部門、美國財富 500 強企業等。此次攻擊行動為具有針對性的定向攻擊，據有關消息報導，美國多個部門以及 FireEye 已受影響。