2021年度中国周边APT组织活动观察与发现
作者: 日期:2022年02月07日 阅:983

近年来,网络空间安全威胁发生巨大的变化,具备国家背景的APT攻击也越来越多的被安全研究机构曝光。国家背景的APT 攻击有着复杂度高、对抗性强、隐蔽性强等特点,通常有着窃取政府单位的国家机密、重要企业的科技信息、破坏网络基础设施等强烈的政治与经济目的。

网络空间安全的格局虽不断变化,但隐藏在迷雾背后的,往往是国家间的博弈与较量。随着国际政治和经济形势的变化以及我国国际地位不断崛起,我国也成为了全球网络攻击的主要受害国之一,境外各类政府背景APT黑客组织对事关我国的政治、经济、军事、科技情报虎视眈眈,针对我国重要单位及关键基础设施的APT攻击趋势越演越烈。

为了掌握APT攻击在全球,特别是在我国的活动情况,并帮助相关机构快速高效地应对APT攻击,知道创宇NDR团队对来自东亚、东南亚、东北亚、南亚、西亚、东欧、中东的APT组织进行深入、持续性跟踪,并于近期发布《2021年度中国周边APT组织活动年鉴》报告。

典型APT组织活动情况

知道创宇NDR团队长期跟踪对中国发起 APT攻击的活跃组织共计30个,其中包括OceanLotus(apt32)、Bitter(蔓灵花)、Patchwork(魔科草)、DarkHotel(黑店)等。报告数据显示,2021年各APT攻击重点目标主要包含国家行政单位、研究机构、大型企业等几大类。

图1 2021年各APT攻击重点目标

OceanLotus(海莲花):东南亚“知名刺客”

OceanLotus(海莲花)是一个长期针对中国及周边东南亚国家(地区)发起APT攻击的东南亚黑客组织,由于其多年来对我国党政机关、国防军工、科研院所等核心要害单位发起攻击,近两年攻击范围甚至延伸到了关键信息基础设施、能源、军民融合等各个领域,因此知道创宇NDR团队重点关注OceanLotus的攻击活动。

根据知道创宇NDR团队对OceanLotus发起的APT攻击事件解析发现,该组织2021年重点攻击目标为关基设施、政府单位,同时也会攻击一些防护较弱的目标作为攻击跳板使用。

攻击活动频繁的Oceanlotus组织在2021年逐步放弃了钓鱼邮件的攻击方式,开始使用漏洞攻击、供应链攻击等方式作为第一步攻击,成功后再通过植入远控木马等待发起下一步行为。这种攻击方式与之前相比有明显区别,其攻击技术含量明显提高。

通过分析OceanLotus在2021年进行的攻击活动,知道创宇NDR团队发现其会重点对vSphere Web客户端、MikroTik、OA系统、D-LINK、三星路由器、F5防火墙等设备或系统进行渗透攻击,攻击成功后将其作为代理C&C服务器,2021年监测到涉及C&C和相关代理共计400+。

图2 部分活跃C&C

Bitter(蔓灵花):游荡于中巴的“幽灵魅影”

Bitter蔓灵花(T-APT-17、BITTER)APT组织是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织,该APT组织为目前活跃的针对中国境内目标进行攻击的境外APT组织之一。该组织主要针对政府、军工、能源等单位进行攻击以窃取敏感资料,具有强烈的政治背景。

Bitter组织多年来主要采用鱼叉钓鱼的方式,以对相关目标单位的个人直接发送嵌入了攻击诱饵的钓鱼邮件的形式发起攻击。此外,为了提高成功率,Bitter组织也会先对目标发送安全提示相关的钓鱼邮件,诱使被钓鱼用户修改邮件账户密码,从而获取用户的邮箱密码,而后再用被控制的邮箱继续对企业内的其他人发送嵌入攻击诱饵的钓鱼邮件。

NDR团队在2021年捕获Bitter组织相关钓鱼攻击200+次,说明Bitter在2021年“一如既往”以钓鱼攻击作为主要攻击方式,值得一提的是,NDR团队在年初发现,Bitter往往使用Windows内核漏洞以提高其攻击成功率。

与此同时,根据NDR团队今年监控到的APT事件及其他技术手段对该组织的行动监控后发现,Bitter组织在2021年依旧保持其常态化热点攻击的特点,其目标行业主要聚集在航空航天、军工、超大型企业、国家政务、部分高校。

注:以上为《2021年度中国周边APT组织活动年鉴》报告中关于OceanLotus和Bitter这两个典型APT组织的内容截取。

2021年APT攻击监测发现

通过对数十个APT组织在2021年进行全年监测、持续跟踪和研究分析,知道创宇NDR安全分析团队得出如下结论:

▶技术水平较高的APT组织逐步采用更多高级攻击手段,如供应链攻击、多层跳板、将IOT设备作为跳板等,使攻击监测难度升级;

▶越来越多的APT攻击使用通用攻击框架,使攻击事件定性难度升级;

▶传统社工钓鱼方式在各APT组织中均出现过,主要原因是社工钓鱼的攻击方式成本低且灵活性高;

▶2021年各组织储备工具、攻击链的丰富性升级,可以有效躲避攻击检查、增加攻击潜伏时间。

知道创宇NDR团队预测,2022年APT攻击会更多地用到如IOT设备作为多级跳板、供应链攻击、通用工具等来应对传统监测手段。

《2021年度中国周边APT组织活动年鉴》报告完整版下载链接:

https://www.yunaq.com/wp/wpform?id=61e3c76e47895b0011a2e9c8&activeNameId=HD2tcLITzWS&from=zgzh00116

关键词:


相关文章