安恒发布2021高级威胁态势研究报告 对2022年APT攻击给出七点预测

 

报告认为，回顾2021，全球疫情持续蔓延，世界局势错综复杂，国际格局向多极化加速演变，国家之间的网络安全博弈基于地缘政治因势而变。随着疫情冲击，远程办公逐渐日常化，给国家背景的黑客组织和灰黑产行业创造了更多机会，软件供应链、工业互联网、移动设备的危机逐渐凸显，网络安全形势更加严峻。

 

报告内容显示，根据监测发现，2021年共发生了约201起APT攻击事件，其中来自东欧的APT29组织今年非常活跃，还有信息显示APT组织正尝试扩大其活动范围，最活跃的APT组织处于南亚地区。攻击方向上看，政府部门和国防部门仍是其主要的针对目标，其次是金融、航空，以及医疗卫生部门。

 

报告指出，2021年网络攻击速度和规模以惊人速度发展，从针对个人的社会工程攻击到针对基础设施的勒索攻击，网络攻击对个人、企业和政府都构成了重大威胁。报告在回顾2021重大攻击事件并提出相应分析研判的同时，还基于多角度对2022攻击态势给出七点研判预测。

 

 

随着新冠疫情的持续，医疗行业的信息化迅速发展，但一些国家的数字化医疗系统尚不完善，因此成为攻击的重灾区。此外，随着德尔塔病毒、奥密克戎变异毒株的出现，人们对病毒的恐慌程度加深，攻击者利用这一心理，持续以新冠疫情为主题发起网络钓鱼活动。另外，随着世界争先恐后地开发、生产和分销疫苗和药物，以抵抗新冠疫情，生物制造行业也面临被攻击的危机。

 

2021年间，针对医疗行业以及生物研究行业的攻击主要包括钓鱼攻击、勒索软件攻击以及部分APT攻击，攻击目的为经济获益或信息窃取。攻击者可以通过窃取的患者信息，进一步对受害者发起社会工程攻击，或根据窃取的商业和财务信息对医疗机构或企业展开勒索。2021年针对医疗卫生行业的典型勒索软件攻击事件如下：

 

● 5月14日，爱尔兰卫生服务执行局（HSE）遭Conti勒索团伙攻击，并索要2000美元赎金，攻击造成全国多家医院的电子系统和存储信息无法正常使用。

 

● 11月初，德国医疗软件巨头Medatixx遭到勒索攻击，影响了医疗机构的内部IT系统，导致其运营系统瘫痪。德国大约25%的医疗中心使用了Mediatixx解决方案，此次勒索攻击可能是德国医疗系统有史以来遭受的最严重的网络攻击。

 

● 11月中旬，Hive勒索团伙攻击了生物制药公司Supernus Pharmaceuticals，加密了公司系统上的某些文件，部署了恶意软件以阻止对公司系统的访问，并窃取了某些数据。

 

医院信息系统的安全性直接影响医院的工作进度，而新冠疫情又给各国的医院都带来了巨大压力。一旦医院的系统出现宕机或数据泄露，将会给医院、病患带来巨大的损失，因此很容易成为勒索攻击的目标。另外，11月23日，美国生物经济信息共享与分析中心（BIO-ISAC）披露了一场针对生物制造设施的攻击活动，活动具有间谍活动的性质，其背后的攻击者可能是一个APT组织。生物制药行业储存大量关于新冠疫苗的重要信息，因此随着新冠疫苗的紧迫开发，预计2022年针对生物医药行业的间谍活动将持续进行。

 

 

2021年，工业部门所面临的网络风险急剧增长，常见的威胁包括以ICS系统为目标的勒索软件，以情报收集为目的的间谍活动，以及破坏性攻击活动。发生在2021年上半年的Colonial管道公司攻击事件充分体现出ICS环境存在的安全风险。而下半年，针对ICS系统的勒索攻击愈演愈烈。11月底，隶属于澳大利亚昆士兰州政府的CS Energy公司遭到勒索软件攻击；12月14日，美国主要天然气供应商Superior Plus同样遭到了勒索软件攻击。

 

此外，美国、澳大利亚等国家的水务行业一直是黑客攻击的目标。针对美国水务系统的攻击包括：

 

● 2021年2月5日，美国佛罗里达州奥兹马尔（Oldsmar）水处理厂发生投毒事件，攻击者远程访问了奥兹玛水厂的系统，试图将某一化学物质的含量提高到可能使公众面临中毒风险的程度。

 

● 2021年3月，攻击者在位于内华达州的WWS设施上部署了一种未知的勒索软件变体。勒索软件影响了受害者的SCADA系统和备份系统。SCADA系统提供可见性和监控，但不是完整的工业控制系统 (ICS) 。

 

● 2021年5月24日，美国水务公司WSSC Water遭到了勒索软件攻击，导致其内部文件泄露。

 

● 2021年7月，攻击者使用远程访问将ZuCaNo勒索软件部署到缅因州WWS部门的废水SCADA计算机。随后系统一直是手动运行的，直到SCADA计算机通过本地控制和更频繁的操作员巡查恢复。

 

● 2021 年 8 月，攻击者使用Ghost变种勒索软件攻击加州WWS。勒索软件变种在系统中存在大约一个月后，在三个监控和数据采集（SCADA）服务器显示勒索软件消息时才被发现。

 

2021年2月24日，工业网络安全公司Dragos发布有关工业控制系统安全状况的年度报告，披露了2020年间，针对工业环境展开攻击活动的威胁组织。目前，该公司共披露15个针对ICS系统的攻击组织，且这15个组织都在活跃地发起攻击。

 

目前披露的威胁组织中，KAMACITE是少数几个可以直接导致或促成破坏性ICS事件的活动组织之一。该组织曾与来自俄罗斯GRU的Sandworm组织合作展开攻击活动。与KAMACITE相关的活动包括：

 

● 2014年BLACKENERGY2 事件：KAMACITE组织入侵美国和欧洲的工业实体。

 

● 2015-2016年，乌克兰电力事件。

 

● 2017年针对德国电力部门的入侵。

 

● 2019-2020年针对美国能源部门的入侵。

 

ICS系统是关键基础设施的核心，一旦遭到攻击，国家的正常运作将受到严重影响。由于ICS环境缺乏健全的网络防护方案，因此容易成为攻击者入侵的目标，针对工业控制系统的攻击将持续增加。

 

 

安恒猎影实验室在去年发布的《2020年度高级威胁态势研究报告》中提到，软件供应链各个环节仍将是攻击重点突破口，2021年7月由REvil勒索团伙发起的Kaseya供应链攻击事件验证了这一的预测。在此事件中，攻击者分发带有恶意软件的Kaseya VSA软件更新，影响了全球17个国家的1500多家企业。

 

以REvil为例，部分大型勒索团伙正在不断完善其武器库，且已把软件供应链作为攻击工具，发起大规模攻击活动。2021年也出现了多个发起供应链攻击的APT组织。安全厂商卡巴斯基同样也观察到，包括Lazarus、DarkHalo、BountyGlad、HoneyMyte在内的多个APT组织都正在发起供应链攻击。

 

软件供应链攻击的成本低、传播速度快、破坏面广，并且会引发一系列连锁反应，因此已成为2021年最严重的威胁之一。随着APT组织供应链攻击能力的发展，预计软件供应链攻击也将在2022年变得更频繁、更具破坏性。

 

 

2021年7月18日，美国《华盛顿邮报》、英国《卫报》和法国《世界报》等17家媒体共同披露，以色列NSO集团的“pegasus”间谍软件在全球至少50多个国家被用来监听活动人士、记者和律师，涉及人数可能高达5万人。此事件引起巨大轰动，NSO集团遭到来自各方的强烈谴责，雇佣监控服务也开始受到各界重视。

 

随后，多个研究团队接连披露了多个提供雇佣监控服务的间谍软件公司，以及与这些公司有关的攻击事件，包括：

 

● 10月7日，披露了多哥（西非国家）的活动家成为Donot组织的攻击目标，此次攻击所使用到的间谍软件和基础设施，与印度网络安全公司Innefu Labs有关。

 

● 11月16日，披露了针对中东知名实体网站的水坑攻击，此次攻击与以色列私营间谍软件公司Candiru公司存在联系。

 

● 12月初，披露称，一名未知身份的攻击者使用以色列NSO公司开发的Pegasus 间谍软件，监听了11名美国国务院员工的手机。这些美国官员处理的事务与东非国家乌干达有关。

 

● 12月16日，披露了欧洲北马其顿Cytrox公司的“Predator”间谍软件。2021年6月，Predator间谍软件攻击了一位埃及的活动家和一位埃及新闻节目的主持人，间谍软件能够通过 WhatsApp 发送的链接感染当时最新版本的Apple iOS操作系统。

 

安恒猎影实验室也曾在2021年8月发布报告，介绍了5个提供间谍软件服务或监视产品的间谍软件供应商：FinFisher、Hacking Team、Cyberbit、Candiru、NSO Group。雇佣监控服务已成为一种复杂、低调、国际化、利润回报丰厚的产业，且间谍软件供应商所提供的产品都具有高复杂性、难追溯等高技术特点。目前披露的公司只是庞大的雇佣监控服务产业中的冰山一角，预计2022年雇佣间谍软件服务将继续流行。

 

 

2020年，美国企业在与商业电子邮件泄露（BEC）或鱼叉式网络钓鱼相关的攻击中损失超过18亿美元，而2021年，网络钓鱼邮件活动变得更加复杂，攻击者根据社会工程学精心设计钓鱼页面，使受害者难以将其与合法网站区分开。

 

网络钓鱼者攻击的主要目标为银行、应用程序提供商、大学和其他实体，常见的钓鱼邮件的主题包括“账号异常登录”、“银行通知”、“新冠检测信息”、“快递物流信息”等。

 

10月底，研究人员发现了针对印度顶级银行客户的网络钓鱼活动。攻击者通过难以区分的钓鱼页面，收集客户的银行凭证，包括账户持有人的姓名、手机号码、卡号、ATM密码、IFSC代码和有效期。下半年也出现了许多以新冠疫情为主题的钓鱼邮件。8月15日至12月13日期间，攻击者冒充抗新冠药制造商辉瑞公司，发送了410封网络钓鱼电子邮件，旨在窃取收件人的商业和财务信息。12月初，攻击者以北美大学为目标，传播以Omicron病毒为诱饵的钓鱼邮件。攻击者通过伪造的大学登录门户，窃取用户的Office 365凭据。

 

此外，部分APT组织会在钓鱼攻击中使用军事或外交主题的诱饵文件，其中一个典型的组织为来自巴基斯坦的SideCopy组织。11月中旬，猎影实验室捕获到疑似Sidecopy组织的攻击活动，攻击者以“印度军官的服役记录”为诱饵，攻击印度军方。该组织还窃取了与阿富汗政府相关的多个Office文档和数据库，进而从阿富汗外交部等机构的数据库窃取了外交签证和外交身份证，以及几名阿富汗政府官员的身份证，这些信息可以被该组织在未来的鱼叉式网络钓鱼攻击中当作诱饵，使其钓鱼邮件看起来更真实有效。

 

在2021年间，数据泄露事件频繁出现，这些泄露的信息将推进更有针对性的垃圾邮件活动。大部分勒索软件团伙主要采用双重勒索模式，除了加密文件外，还会窃取并泄露数据，这些数据可能包括用户的姓名、号码、账户信息等。据统计，2021全年有超过80%的勒索攻击涉及对公司数据的窃取活动。对于拒绝支付赎金的公司，部分勒索团伙会将从其系统中窃取的信息在数据泄露站点上公开，这些信息会被网络犯罪分子利用，进一步发起更具针对性的钓鱼攻击。

 

 

2021年，近一半的安全调查事件与勒索软件相关，全年发生了约2000多起勒索攻击事件，成为影响力最大的恶意软件类型。勒索软件呈现出攻击水平高、驻留时间短、影响范围广、勒索赎金大的趋势，并且勒索攻击逐渐变得普遍和有效，并继续主导网络威胁格局。

 

2021上半年，大型勒索团伙针对关键基础设施部门发起多次严重的攻击，包括Darkside组织针对美国输油公司Colonial Pipeline的攻击，以及REVil勒索团伙针对全球最大的肉类供应商JBS的攻击。这些攻击事件具备APT的特点，并呈现出高针对性和复杂性。7月2日，REvil团伙利用Kaseya公司漏洞发起了大规模供应链勒索攻击，此次事件更加体现出，部分勒索犯罪团伙具备实施大规模针对性攻击的技术能力。

 

2021年5月，Colonial Pipeline攻击事件发生后，各国执法部门都加大了对勒索团伙的打击力度。自6月开始，警方先后抓捕了属于REvil、cl0p等大型勒索团伙的多名附属成员。11月左右，美国政府以1000万美元的赏金公开收集关于DarkSide勒索组织、REvil勒索组织核心成员的信息。由于执法部门带来的压力，DarkSide、REvil、BlackMatter以及Avaddon等勒索团伙纷纷宣布关闭运营，但品牌重塑一直是勒索软件生态的常见策略，这些大型勒索团伙通常不会彻底结束攻击活动，预计2022年，会涌现大批回归的勒索团伙，勒索软件攻击将继续主导网络犯罪生态。

 

 

2021年，涌现出大量针对ios和Android操作系统的新型移动设备恶意软件，灰黑产网络犯罪分子很容易通过银行木马等移动恶意软件获利，APT组织也可以在受害目标的移动设备上安装间谍软件、键盘记录器等，从而监控和窃取受害者的信息。因此，今年针对移动设备的攻击显著增加，且攻击手法更加复杂。

 

由于在线银行向移动设备过渡的持续趋势，因此银行木马成为移动恶意软件中占比较大的威胁。2021年新披露的SharkBot、BrazKing等银行木马都是针对Android系统的银行木马，通常都具有执行覆盖攻击以窃取登录凭据和信用卡信息的功能，并且可以通过请求访问无障碍服务以激活捕获屏幕和击键的能力。移动银行恶意软件更易操作、易获得，因此在地下网络犯罪领域的影响逐渐壮大。

 

除使用银行木马的攻击外，2021年也有多起使用间谍软件针对移动设备的复杂攻击。此种较著名的攻击包括，以色列监控供应商NSO Group滥用苹果 iMessage 中未公开的“零点击”漏洞，在巴林活动人士的手机中部署Pegasus间谍软件。此外，研究人员去年10月披露称，Donot组织使用虚假的Android应用程序攻击了著名的多哥（西非国家）活动家，试图诱骗受害者安装伪装成安全聊天应用程序的Android 间谍软件，旨在提取存储在目标人士手机上的敏感个人信息。这种类型的攻击是高度复杂的，需要花费数百万美元来开发，这表明针对移动设备的攻击与之前相比愈发复杂。

 

报告总结认为，网络威胁是一个持续存在的问题，而疫情的爆发推进了网络攻击的发展，从而使全球各个行业面临攻击的风险，给全球实体带来了巨大的挑战。报告呼吁称，网络威胁领域持续发展，攻击形势瞬息万变，面对这些不确定性，企业应密切关注网络威胁局势，并随时准备做出针对性响应，以确保在2022年保持弹性，应对威胁。