冬奧臨近���、群狼環(huán)伺,你是否被APT組織盯上?
全球矚目的北京冬奧會(huì)即將開幕,2022年中國(guó)多項(xiàng)重大活動(dòng)也正在積極籌備,在這一關(guān)鍵時(shí)間節(jié)點(diǎn),中國(guó)成為了全球APT組織網(wǎng)絡(luò)攻擊的重要目標(biāo)���。
近年來,境外各類政府背景APT黑客組織對(duì)事關(guān)我國(guó)的政治、經(jīng)濟(jì)�����、軍事�、科技情報(bào)虎視眈眈,針對(duì)我國(guó)重要單位及關(guān)鍵基礎(chǔ)設(shè)施的APT攻擊趨勢(shì)越演越烈。
APT攻擊也愈加呈現(xiàn)出復(fù)雜度高��、對(duì)抗性強(qiáng)����、隱蔽性強(qiáng)等特點(diǎn),通常有著竊取政府單位的國(guó)家機(jī)密、重要企業(yè)的科技信息�、破壞網(wǎng)絡(luò)基礎(chǔ)設(shè)施等強(qiáng)烈的政治與經(jīng)濟(jì)目的。網(wǎng)絡(luò)空間安全的格局雖不斷變化,但隱藏在迷霧背后的,往往是國(guó)家間的博弈與較量�。
中國(guó)國(guó)家行政單位是APT組織攻擊的最大目標(biāo)
為了掌握APT對(duì)我國(guó)的攻擊情況和其全球的活動(dòng)情況、并快速高效地應(yīng)對(duì)APT攻擊,知道創(chuàng)宇
NDR團(tuán)隊(duì)長(zhǎng)期跟蹤對(duì)中國(guó)發(fā)起
APT攻擊的活躍組織共計(jì)30個(gè),其中包括OceanLotus(apt32)����、Bitter(蔓靈花)、Patchwork(魔科草)�、DarkHotel(黑店)等等。
2021年,知道創(chuàng)宇NDR團(tuán)隊(duì)將注意力集中在我國(guó)周邊APT組織上,對(duì)來自于東亞�、東南亞、東北亞�����、南亞�、西亞、東歐��、中東的APT組織進(jìn)行長(zhǎng)期深入的持續(xù)性跟蹤,得出如下監(jiān)測(cè)數(shù)據(jù)����。
21個(gè)活躍APT組織對(duì)中國(guó)的重點(diǎn)攻擊情況:政府單位是第一目標(biāo)
下圖:對(duì)部分APT組織的攻擊活動(dòng)進(jìn)行監(jiān)控和追蹤分析。
OceanLotus海蓮花,東南亞“最知名刺客”
OceanLotus(海蓮花)是一個(gè)長(zhǎng)期針對(duì)中國(guó)及周邊東南亞國(guó)家(地區(qū))發(fā)起APT攻擊的東南亞黑客組織,由于其多年來對(duì)我國(guó)黨政機(jī)關(guān)����、國(guó)防軍工、科研院所等核心要害單位發(fā)起攻擊,近兩年攻擊范圍甚至延伸到了關(guān)鍵信息基礎(chǔ)設(shè)施�、能源、軍民融合等各個(gè)領(lǐng)域,因此NDR團(tuán)隊(duì)重點(diǎn)關(guān)注OceanLotus的攻擊活動(dòng)����。根據(jù)NDR2021年監(jiān)控到的OceanLotus發(fā)起的APT攻擊事件解析發(fā)現(xiàn),該組織2021年重點(diǎn)攻擊目標(biāo)為關(guān)基設(shè)施、政府單位,同時(shí)也會(huì)攻擊一些防護(hù)較弱的目標(biāo)作為攻擊跳板使用���。
攻擊活動(dòng)頻繁的Oceanlotus組織在2021年逐步放棄了釣魚郵件的攻擊方式,開始使用漏洞攻擊���、供應(yīng)鏈攻擊等方式作為第一步攻擊,成功后再通過植入遠(yuǎn)控木馬等待發(fā)起下一步行為�。這種攻擊方式與之前相比有明顯區(qū)別,其攻擊技術(shù)含量明顯提高��。通過分析OceanLotus在2021年進(jìn)行的攻擊活動(dòng),NDR團(tuán)隊(duì)發(fā)現(xiàn)其會(huì)重點(diǎn)對(duì)vSphere
Web客戶端�����、MikroTik��、OA系統(tǒng)��、D-LINK�����、三星路由器��、F5防火墻等設(shè)備或系統(tǒng)進(jìn)行滲透攻擊,攻擊成功后將其作為代理C&C服務(wù)器,2021年監(jiān)測(cè)到涉及C&C和相關(guān)代理共計(jì)400+����。
部分活躍C&C
Bitter蔓靈花,游蕩于中巴的“幽靈魅影”
蔓靈花(T-APT-17、BITTER)APT組織是一個(gè)長(zhǎng)期針對(duì)中國(guó)���、巴基斯坦等國(guó)家進(jìn)行攻擊活動(dòng)的APT組織,該APT組織為目前活躍的針對(duì)中國(guó)境內(nèi)目標(biāo)進(jìn)行攻擊的境外APT組織之一�。該組織主要針對(duì)政府、軍工��、能源等單位進(jìn)行攻擊以竊取敏感資料,具有強(qiáng)烈的政治背景�。Bitter組織多年來主要采用魚叉釣魚的方式,以對(duì)相關(guān)目標(biāo)單位的個(gè)人直接發(fā)送嵌入了攻擊誘餌的釣魚郵件的形式發(fā)起攻擊�����。此外,為了提高成功率,Bitter組織也會(huì)先對(duì)目標(biāo)發(fā)送安全提示相關(guān)的釣魚郵件,誘使被釣魚用戶修改郵件賬戶密碼,從而獲取用戶的郵箱密碼,而后再用被控制的郵箱繼續(xù)對(duì)企業(yè)內(nèi)的其他人發(fā)送嵌入攻擊誘餌的釣魚郵件�。NDR團(tuán)隊(duì)在2021年捕獲Bitter組織相關(guān)釣魚攻擊200+次,說明Bitter在2021年“一如既往”以釣魚攻擊作為主要攻擊方式,值得一提的是,NDR團(tuán)隊(duì)在年初發(fā)現(xiàn),Bitter往往使用Windows內(nèi)核漏洞以提高其攻擊成功率。與此同時(shí),根據(jù)NDR團(tuán)隊(duì)今年監(jiān)控到的APT事件及其他技術(shù)手段對(duì)該組織的行動(dòng)監(jiān)控后發(fā)現(xiàn),Bitter組織在2021年依舊保持其常態(tài)化熱點(diǎn)攻擊的特點(diǎn),其目標(biāo)行業(yè)主要聚集在航空航天�����、軍工����、超大型企業(yè)、國(guó)家政務(wù)���、部分高校�����。
2021年APT攻擊有哪些重要特點(diǎn)?
通過對(duì)數(shù)十個(gè)APT組織在2021年進(jìn)行全年監(jiān)測(cè)�、持續(xù)跟蹤和研究分析,NDR安全分析團(tuán)隊(duì)得出如下結(jié)論:
·技術(shù)水平較高的APT組織逐步采用更多高級(jí)攻擊手段,如供應(yīng)鏈攻擊、多層跳板���、IOT設(shè)備作為跳板等,使攻擊監(jiān)測(cè)難度升級(jí);
·越來越多的APT攻擊使用通用攻擊框架,使攻擊事件定性難度升級(jí);
·傳統(tǒng)社工釣魚方式在各APT組織中均出現(xiàn)過,主要原因是社工釣魚的攻擊方式成本低且靈活性高;
·2021年各組織其儲(chǔ)備工具��、攻擊鏈的豐富性升級(jí),可以有效躲避攻擊檢查�����、增加攻擊潛伏時(shí)間�。
NDR團(tuán)隊(duì)預(yù)測(cè),2022年APT攻擊會(huì)更多的用到如IOT設(shè)備做為多級(jí)跳板��、供應(yīng)鏈攻擊�、通用工具等方法來應(yīng)對(duì)傳統(tǒng)的監(jiān)測(cè)手段。
知道創(chuàng)宇NDR流量監(jiān)測(cè)將為您提供強(qiáng)大的APT監(jiān)測(cè)服務(wù)
知道創(chuàng)宇NDR流量監(jiān)測(cè)系統(tǒng)是知道創(chuàng)宇同一線作戰(zhàn)人員一起實(shí)戰(zhàn)打造,針對(duì)活躍APT組織的流量檢測(cè)分析產(chǎn)品,與創(chuàng)宇安全智腦����、創(chuàng)宇云防御創(chuàng)宇盾聯(lián)動(dòng),通過對(duì)流量進(jìn)行智能分析,精準(zhǔn)高效的發(fā)現(xiàn)敵人對(duì)我國(guó)關(guān)鍵基礎(chǔ)設(shè)施的APT攻擊。
網(wǎng)絡(luò)空間已成為國(guó)家繼陸����、海、空��、天四個(gè)疆域之后的第五疆域已是不爭(zhēng)的事實(shí),而“和平與發(fā)展”是任何領(lǐng)域內(nèi),全人類共同的目標(biāo)和愿望。知道創(chuàng)宇在網(wǎng)絡(luò)安全技術(shù)及APT發(fā)現(xiàn)���、檢測(cè)能力上的不懈努力,同樣是希望可以在技術(shù)能力上縮小差距,讓我們每個(gè)個(gè)體,包括企業(yè)和組織都有能力發(fā)現(xiàn)威脅�、防御威脅,捍衛(wèi)自身安全�����。每個(gè)個(gè)體的安全和自身抵御攻擊的能力才是構(gòu)建賽博空間安全穩(wěn)定和平的基礎(chǔ)�。
知道創(chuàng)宇作為一家致力于成為中國(guó)值得信賴的網(wǎng)絡(luò)安全公司,將時(shí)刻秉承“不忘初心,為國(guó)為民”的使命和初衷,驅(qū)動(dòng)自身技術(shù)與產(chǎn)品優(yōu)勢(shì),應(yīng)對(duì)未來新安全挑戰(zhàn),為產(chǎn)業(yè)數(shù)字化創(chuàng)新賦能���。不負(fù)時(shí)代重托與厚望,為維護(hù)國(guó)家網(wǎng)絡(luò)空間安全����、建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)貢獻(xiàn)力量!
如果您需要APT相關(guān)的監(jiān)測(cè)服務(wù),或了解更詳細(xì)的《2021中國(guó)周邊APT攻擊報(bào)告》,請(qǐng)聯(lián)系知道創(chuàng)宇�。
轉(zhuǎn)自:中國(guó)網(wǎng)
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”���,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力��。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊�,僅代表作者個(gè)人觀點(diǎn)����,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)��。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056�。
延伸閱讀
