2021年度高级威胁研究报告

2021年度高级威胁研究报告总结

一、总体概览

2021年，绿盟科技集团旗下的伏影实验室追踪了全球范围内17个高级威胁攻击组织（APT）的活动，这些组织的攻击活动覆盖了包括中国、美国、韩国、俄罗斯、乌克兰、格鲁吉亚、巴基斯坦在内的多个国家和地区。

二、APT攻击活动特点

• 攻击手法：APT组织主要通过定制化的钓鱼邮件发起攻击，邮件中包含的恶意附件如文档、快捷方式文件、HTML文件等是常见的攻击载体。
• 技术发展：
  • 钓鱼文档：APT组织熟练运用钓鱼文档技术，包括恶意宏、漏洞利用和机制滥用，这些文档往往结合政府公文、报告、简历等内容，利用自动化生成工具提高攻击效率。
  • 恶意快捷方式文件：这类文件提供了扩展名隐藏、图标伪装、命令执行等功能，便于APT组织构建迷惑性诱饵文件，进行隐蔽攻击。
  • 水坑攻击：APT组织构建水坑站点，通过模仿合法网站或服务，投放恶意内容，吸引目标访问。
  • 隐匿技术：使用信道加密等技术，如异或算法加密数据，以逃避网络检测，HTTP协议被广泛用于搭建控制信道，降低检出率。

三、新技术与创新

• 新型0day漏洞：APT组织利用了CVE-2021-26411和CVE-2021-40444等新型0day漏洞，增强了攻击的有效性和隐蔽性。
• 社会工程学手法：一种基于新媒体运营的目标筛选与钓鱼手法被APT组织采用，提高了攻击的成功率。
• 特征隐藏：APT组织在控制信道搭建时更偏好使用HTTP协议，以避免检测，同时通过异步通信等技术降低被发现的可能性。

四、重点攻击目标与地区

• 重点攻击目标：包括安全公司、研究人员、政府、金融、能源、交通、教育等领域的重要机构和个人。
• 地区分布：东欧地区的APT组织（如Lorec53、Gamaredon、FIN7）活动频繁，针对特定国家和地区（如乌克兰、格鲁吉亚、俄罗斯）；朝鲜半岛的Lazarus和Kimsuky组织持续攻击韩国运输公司、区块链行业、安全研究人员等；其他APT组织则针对南亚、中东、非洲等地区的目标。

结论

2021年，高级威胁攻击呈现多元化、复杂化趋势，APT组织通过创新的攻击技术和手段，对全球多个重要行业和国家造成了严重威胁。为了应对这种威胁，加强网络安全防御、提升威胁情报共享和应急响应能力显得尤为重要。