近年来,网络空间安全威胁发生巨大的变化,具备国家背景的APT攻击也越来越多的被安全研究机构曝光。国家背景的APT 攻击有着复杂度高、对抗性强、隐蔽性强等特点,通常有着窃取政府单位的国家机密、重要企业的科技信息、破坏网络基础设施等强烈的政治与经济目的。网络空间安全的格局虽不断变化,但隐藏在迷雾背后的,往往是国家间的博弈与较量。
随着国际政治和经济形势的变化以及我国国际地位不断崛起,我国也成为了全球网络攻击的主要受害国之一,境外各类政府背景APT黑客组织对事关我国的政治、经济、军事、科技情报虎视眈眈,针对我国重要单位及关键基础设施的APT攻击趋势越演越烈。
近日,业内安全厂商知道创宇旗下NDR团队结合2021年对中国周边活跃APT组织活动进行监控和追踪分析情况,整理发布了《2021年度中国周边APT组织活动年鉴》报告,21个来自于东亚、东南亚、东北亚、南亚、西亚、东欧、中东的活跃APT组织相关攻击活动及线索、攻击重点目标等进行概述,以帮助广大企业掌握APT对我国的攻击情况和其全球的活动情况。
中国国家行政单位是APT组织攻击的最大目标
报告介绍,为了掌握APT对我国的攻击情况和其全球的活动情况、并快速高效地应对APT攻击,知道创宇 NDR团队针对包括OceanLotus(apt32)、Bitter(蔓灵花)、Patchwork(魔科草)、DarkHotel(黑店)等30个瞄准中国发起 APT 攻击的活跃组织进行了长期跟踪。
2021年,知道创宇NDR团队将注意力重点集中在我国周边APT组织上,对来自于东亚、东南亚、东北亚、南亚、西亚、东欧、中东的APT组织进行长期深入的持续性监测和追踪分析。监测发现,我国周边APT组织重点攻击目标,主要包含国家行政单位、研究机构、大型企业、高校、经济犯罪、普通企业、涉外单位等几大类,其中我国国家行政单位是APT组织的最大攻击目标,占比高达36%。
图:21个活跃APT组织对中国的重点攻击情况
图:中国周边活跃APT组织分布
《2021年度中国周边APT组织活动年鉴》对这21个活跃APT组织相关活动情况进行了详细梳理,安全419对其中较为典型的OceanLotus和Bitter这两个APT组织部分摘录如下:
OceanLotus海莲花,东南亚“最知名刺客”
OceanLotus(海莲花)是一个长期针对中国及周边东南亚国家(地区)发起APT攻击的东南亚黑客组织,由于其多年来对我国党政机关、国防军工、科研院所等核心要害单位发起攻击,近两年攻击范围甚至延伸到了关键信息基础设施、能源、军民融合等各个领域,因此NDR团队重点关注OceanLotus的攻击活动。
根据NDR2021年监控到的OceanLotus发起的APT攻击事件解析发现,该组织2021年重点攻击目标为关基设施、政府单位,同时也会攻击一些防护较弱的目标作为攻击跳板使用。
攻击活动频繁的Oceanlotus组织在2021年逐步放弃了钓鱼邮件的攻击方式,开始使用漏洞攻击、供应链攻击等方式作为第一步攻击,成功后再通过植入远控木马等待发起下一步行为。这种攻击方式与之前相比有明显区别,其攻击技术含量明显提高。
通过分析OceanLotus在2021年进行的攻击活动,NDR团队发现其会重点对vSphere Web客户端、MikroTik、OA系统、D-LINK、三星路由器、F5防火墙等设备或系统进行渗透攻击,攻击成功后将其作为代理C&C服务器,2021年监测到涉及C&C和相关代理共计400+。OceanLotus海莲花,东南亚“最知名刺客”
OceanLotus(海莲花)是一个长期针对中国及周边东南亚国家(地区)发起APT攻击的东南亚黑客组织,由于其多年来对我国党政机关、国防军工、科研院所等核心要害单位发起攻击,近两年攻击范围甚至延伸到了关键信息基础设施、能源、军民融合等各个领域,因此NDR团队重点关注OceanLotus的攻击活动。
根据NDR2021年监控到的OceanLotus发起的APT攻击事件解析发现,该组织2021年重点攻击目标为关基设施、政府单位,同时也会攻击一些防护较弱的目标作为攻击跳板使用。
攻击活动频繁的Oceanlotus组织在2021年逐步放弃了钓鱼邮件的攻击方式,开始使用漏洞攻击、供应链攻击等方式作为第一步攻击,成功后再通过植入远控木马等待发起下一步行为。这种攻击方式与之前相比有明显区别,其攻击技术含量明显提高。
通过分析OceanLotus在2021年进行的攻击活动,NDR团队发现其会重点对vSphere Web客户端、MikroTik、OA系统、D-LINK、三星路由器、F5防火墙等设备或系统进行渗透攻击,攻击成功后将其作为代理C&C服务器,2021年监测到涉及C&C和相关代理共计400+。
图:部分活跃C&C
Bitter蔓灵花,游荡于中巴的“幽灵魅影”
蔓灵花(T-APT-17、BITTER)APT组织是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织,该APT组织为目前活跃的针对中国境内目标进行攻击的境外APT组织之一。该组织主要针对政府、军工、能源等单位进行攻击以窃取敏感资料,具有强烈的政治背景。
Bitter组织多年来主要采用鱼叉钓鱼的方式,以对相关目标单位的个人直接发送嵌入了攻击诱饵的钓鱼邮件的形式发起攻击。此外,为了提高成功率,Bitter组织也会先对目标发送安全提示相关的钓鱼邮件,诱使被钓鱼用户修改邮件账户密码,从而获取用户的邮箱密码,而后再用被控制的邮箱继续对企业内的其他人发送嵌入攻击诱饵的钓鱼邮件。
NDR团队在2021年捕获Bitter组织相关钓鱼攻击200+次,说明Bitter在2021年“一如既往”以钓鱼攻击作为主要攻击方式,值得一提的是,NDR团队在年初发现,Bitter往往使用Windows内核漏洞以提高其攻击成功率。
与此同时,根据NDR团队今年监控到的APT事件及其他技术手段对该组织的行动监控后发现,Bitter组织在2021年依旧保持其常态化热点攻击的特点,其目标行业主要聚集在航空航天、军工、超大型企业、国家政务、部分高校。
注:以上为《2021年度中国周边APT组织活动年鉴》中关于OceanLotus和Bitter这两个典型APT组织的内容截取。如需报告原文,可点击阅读原文下载完整版。如需转载、摘编或利用其它方式使用本报告文字或观点请联系本报告的出品者——知道创宇。
2021年APT攻击有哪些重要特点?
通过对数十个APT组织在2021年进行全年监测、持续跟踪和研究分析,知道创宇NDR安全分析团队得出如下结论:
技术水平较高的APT组织逐步采用更多高级攻击手段,如供应链攻击、多层跳板、IOT设备作为跳板等,使攻击监测难度升级;
越来越多的APT攻击使用通用攻击框架,使攻击事件定性难度升级;
传统社工钓鱼方式在各APT组织中均出现过,主要原因是社工钓鱼的攻击方式成本低且灵活性高;
2021年各组织其储备工具、攻击链的丰富性升级,可以有效躲避攻击检查、增加攻击潜伏时间。
知道创宇NDR团队预测,2022年APT攻击会更多的用到如IOT设备做为多级跳板、供应链攻击、通用工具等方法来应对传统的监测手段。
网络空间已成为国家继陆、海、空、天四个疆域之后的第五疆域已是不争的事实,而“和平与发展”是任何领域内,全人类共同的目标和愿望。知道创宇在网络安全技术及APT发现、检测能力上的不懈努力,同样是希望可以在技术能力上缩小差距,让我们每个个体,包括企业和组织都有能力发现威胁、防御威胁,捍卫自身安全。每个个体的安全和自身抵御攻击的能力才是构建赛博空间安全稳定和平的基础。
京公网安备 11010802033237号
