2021年度高级威胁研究报告总结
一、总体概览
2021年,绿盟科技集团旗下的伏影实验室追踪了全球范围内17个高级威胁攻击组织(APT)的活动,这些组织的攻击活动覆盖了包括中国、美国、韩国、俄罗斯、乌克兰、格鲁吉亚、巴基斯坦在内的多个国家和地区。
二、APT攻击活动特点
- 攻击手法:APT组织主要通过定制化的钓鱼邮件发起攻击,邮件中包含的恶意附件如文档、快捷方式文件、HTML文件等是常见的攻击载体。
- 技术发展:
- 钓鱼文档:APT组织熟练运用钓鱼文档技术,包括恶意宏、漏洞利用和机制滥用,这些文档往往结合政府公文、报告、简历等内容,利用自动化生成工具提高攻击效率。
- 恶意快捷方式文件:这类文件提供了扩展名隐藏、图标伪装、命令执行等功能,便于APT组织构建迷惑性诱饵文件,进行隐蔽攻击。
- 水坑攻击:APT组织构建水坑站点,通过模仿合法网站或服务,投放恶意内容,吸引目标访问。
- 隐匿技术:使用信道加密等技术,如异或算法加密数据,以逃避网络检测,HTTP协议被广泛用于搭建控制信道,降低检出率。
三、新技术与创新
- 新型0day漏洞:APT组织利用了CVE-2021-26411和CVE-2021-40444等新型0day漏洞,增强了攻击的有效性和隐蔽性。
- 社会工程学手法:一种基于新媒体运营的目标筛选与钓鱼手法被APT组织采用,提高了攻击的成功率。
- 特征隐藏:APT组织在控制信道搭建时更偏好使用HTTP协议,以避免检测,同时通过异步通信等技术降低被发现的可能性。
四、重点攻击目标与地区
- 重点攻击目标:包括安全公司、研究人员、政府、金融、能源、交通、教育等领域的重要机构和个人。
- 地区分布:东欧地区的APT组织(如Lorec53、Gamaredon、FIN7)活动频繁,针对特定国家和地区(如乌克兰、格鲁吉亚、俄罗斯);朝鲜半岛的Lazarus和Kimsuky组织持续攻击韩国运输公司、区块链行业、安全研究人员等;其他APT组织则针对南亚、中东、非洲等地区的目标。
结论
2021年,高级威胁攻击呈现多元化、复杂化趋势,APT组织通过创新的攻击技术和手段,对全球多个重要行业和国家造成了严重威胁。为了应对这种威胁,加强网络安全防御、提升威胁情报共享和应急响应能力显得尤为重要。