2023年度APT报告发布,“鱼叉邮件”为主要初始入侵手段
近日,奇安信威胁情报中心发布《全球高级持续性威胁(APT)2023年度报告》(以下简称《报告》),基于奇安信威胁雷达监测数据,同时结合全网开源APT情报,对全球范围内APT攻击进行了全面梳理。《报告》显示,在2023年全球至少有80个国家遭遇过APT攻击,其中大部分受害者集中在中国以及东亚、东南亚、南亚等中国周边地区。
《报告》显示,2023年受到APT攻击的国家主要包括韩国、印度、巴基斯坦、中国、俄罗斯、日本、美国、乌克兰等国。可以看出,受地缘冲突影响,俄乌地区、巴以地区,都是APT攻击的重点地区。
就中国境内而言,东南沿海地区是受害“重灾区”。根据奇安信威胁雷达的监测数据,广东、江苏、上海、浙江等沿海省份是境外APT组织攻击的主要目标地区,其次是北京、四川、安徽等地。
进一步来看,通过奇安信威胁雷达的遥测感知和奇安信红雨滴团队基于用户现场的APT攻击线索,并结合使用奇安信威胁情报的全线产品告警数据进行分析,2023年涉及政府机构、科研教育、信息技术、金融商贸、能源行业的高级威胁事件在我国占主要部分,占比分别为:20.4%,18.4%,17.3%,12.2%,10.2%。其次为国防军事、新闻媒体、医疗卫生等领域。其中政府机构长期受到APT组织的重点关注,另受贸易、科技等多方面因素影响,科研教育、信息技术等领域受到攻击的频率正持续升高。
奇安信威胁情报中心通过梳理奇安信红雨滴团队和奇安信安服在用户现场处置排查的真实APT攻击事件,结合使用威胁情报的全线产品告警数据观察到,10余个APT组织频繁针对国内重点目标展开攻击。
基于奇安信威胁雷达的测绘分析,2023年对我国攻击频率较高的APT组织为:APT-Q-27 (金眼狗)、APT-Q-29 (Winnti)、APT-Q-1 (Lazarus)、APT-Q-31 (海莲花)、APT-Q-36 (Patchwork)、APT-Q-20 (毒云藤)、APT-Q-12 (伪猎者)等,这些组织疑似控制我国境内IP地址的比例分别为:24.2%,11.6%,9.7%,7.8%,7.7%,7.5%,5.6%。其中,金眼狗控制境内的IP地址数量最多,毒云藤拥有的攻击服务器(C2,控制与命令)最多。
进一步对这些APT组织的C2服务器及其控制的境内IP地址数据分析发现,毒云藤、海莲花、APT-Q-15、BerBeroka几个组织使用大量C2针对境内目标进行攻击,表明其可能拥有庞大的基础设施;Winnti、Lazarus、APT-Q-12、APT-Q-78等组织仅使用少量C2就控制了境内相当数量的IP地址,可见其可能拥有较高水平的攻击技术。
另外,FaceduckGroup是今年首次发现针对国内的攻击团伙;APT-Q-77开始将目标转向芯片领域;APT-Q-15是自2022年开始持续跟踪的新组织,主要攻击朝鲜和中国大陆。
从攻击手法来看,有的组织继续沿用以往的攻击模式,而有的组织攻击手法特点则呈现出一定的变化,但总体来看,“鱼叉邮件”仍是主要的初始入侵手段,个别APT组织还会通过社工、Web层面的0day/Nday漏洞作为攻击入口。
在0day漏洞使用方面,2023年奇安信威胁情报中心关注到重点在野0day漏洞共59个。在野0day的利用数量相较2022年有所上升,趋势上逼近作为历年峰值的2021年。微软、谷歌、苹果三家的产品漏洞依然占主要部分,而与往年有所不同的是,苹果产品的漏洞在数量上超过微软、谷歌。
需要注意的是,国产软件漏洞正在被越来越多的境外APT组织用于攻击境内目标。由于大部分国产软件仅供中国用户使用,因此这些漏洞极易被境外APT组织用于定向攻击境内目标。奇安信威胁情报中心认为,随着大批量国产化软件普及,针对国产软件的攻击及相关0day漏洞不断涌现,确保这些软件的安全性势在必行。
APT攻击愈演愈烈,如何才能有效应对?奇安信威胁情报中心专业人士建议,首先要树立良好的网络安全意识,不接收未知来源的邮件,不下载安全性未知的软件,不访问可疑的网站,不使用简单密码并定期更换;
其次,建立健全系统安全机制,梳理IT资产,收敛资产暴露面,从而增强系统本身的安全强度;
第三,建设内生安全的纵深防御体系和全网无死角态势感知能力,结合威胁情报和大数据关联分析,确保及时发现攻击行为;
第四,定期开展渗透测试、实战攻防演习等,及时找出安全防御的薄弱环节,并在实战中不断提升攻防对抗能力;
第五,一旦发现APT攻击事件,应当及时准确上报,不瞒报不漏报,联合监管机构、安全厂商以及社会各界力量,将影响控制在低水平。(孔繁鑫)
(编辑:旦增尼玛)