APT組織檔案館|2021年度APT組織活動態(tài)勢分析
近日,綠盟科技聯(lián)合廣州大學(xué)網(wǎng)絡(luò)空間先進(jìn)技術(shù)研究院聯(lián)合發(fā)布2021年《APT組織情報(bào)研究年鑒》,該年鑒借助網(wǎng)絡(luò)空間威脅建模知識圖譜和大數(shù)據(jù)復(fù)合語義追蹤技術(shù),對全球372個(gè)APT組織知識進(jìn)行了知識圖譜歸因建檔,形成APT組織檔案館,并對APT組織活動進(jìn)行大數(shù)據(jù)追蹤,從而對2021年度新增和活躍的攻擊組織的攻擊活動態(tài)勢進(jìn)行分析。目前該年鑒所涉及的相關(guān)情報(bào)和技術(shù)已經(jīng)應(yīng)用在綠盟科技的威脅情報(bào)平臺(NTIP)和UTS、IDS、IPS等多個(gè)產(chǎn)品中,并支撐網(wǎng)絡(luò)安全檢查以及重大活動保障等活動,取得了非常不錯(cuò)的成績。
本文為《APT組織情報(bào)研究年鑒》精華解讀系列文章之一,本篇主要介紹年鑒中提到的綠盟科技2021年基于爬蟲框架和知識圖譜自然語言處理技術(shù),從全球100多個(gè)開源情報(bào)源新采集到的APT組織(新增APT組織)和被監(jiān)測到有活躍跡象的APT組織的總體態(tài)勢情況,以及在年鑒中呈現(xiàn)的APT組織信息情況。
一. 宏觀態(tài)勢
基于綠盟科技云端服務(wù)2020年9月至2021年9月數(shù)據(jù),從情報(bào)新增以及活躍監(jiān)控發(fā)現(xiàn)的120個(gè)APT組織,可以總結(jié)出整個(gè)APT宏觀態(tài)勢具有如下特征:
? 亞洲是APT組織重點(diǎn)關(guān)注的區(qū)域,共22個(gè)國家遭受超過54次APT組織發(fā)起的攻擊活動。其中中國(包括中國臺灣和中國香港)就遭受12個(gè)組織的攻擊,并且集中于政府、國防領(lǐng)域,從總體上看APT組織主要的意圖仍以間諜活動、敏感信息竊取為主。
? APT攻擊的偽裝技術(shù)的發(fā)展導(dǎo)致APT歸因的復(fù)雜性增大,從而使得對APT組織的歸因結(jié)果并不準(zhǔn)確;已發(fā)布的APT報(bào)告顯示,歸因于我國的APT組織數(shù)量逐年增高,2021年新增的63個(gè)APT組織中有9個(gè)被國外研究機(jī)構(gòu)歸因于我國,有4個(gè)歸因于俄羅斯,但是同期,歸因?yàn)槊绹慕M織卻只有1個(gè)。隨著偽裝技術(shù)的發(fā)展(比如ATT&CK戰(zhàn)術(shù)(tactic)中TA0005就是“防御規(guī)避”,技術(shù)(technique)中T1036就叫做“偽裝”),越來越多的偽裝嫁禍?zhǔn)沟秒y以從技術(shù)角度進(jìn)行APT的歸因。被偽裝嫁禍的典型是朝鮮Lazarus Group,2021年一共披露了70份相關(guān)報(bào)告,新增IOC(IP:12,域名:324,郵箱:10,鏈接:410,哈希:1129,漏洞:5)數(shù)量遠(yuǎn)超正常。從應(yīng)急和分析結(jié)果來看,攻擊我國的APT組織經(jīng)常偽裝模仿APT32海蓮花的戰(zhàn)術(shù)戰(zhàn)法。從這個(gè)方面也說明我們需要加強(qiáng)傳統(tǒng)上攻擊目標(biāo)不是中國的APT組織的防護(hù)并提升歸因相關(guān)研究的國際影響力。
? 供應(yīng)鏈攻擊開始成為APT組織的常用攻擊手段,由于大部分的企業(yè)沒有對供應(yīng)鏈攻擊做好充足的準(zhǔn)備,導(dǎo)致類似案例均造成比較大的影響。如SolarWinds供應(yīng)鏈攻擊事件中根據(jù)官方提供的客戶清單,影響超過98個(gè)企業(yè),波及政府、咨詢、技術(shù)、電信石油和天然氣等行業(yè);另一起針對BigNox的NoxPlayer模擬器供應(yīng)鏈攻擊更是影響全球超過1.5億的用戶。
? 以經(jīng)濟(jì)利益為主要攻擊意圖的APT組織占比逐漸提高,新發(fā)現(xiàn)的63個(gè)組織中有14個(gè)以此為活動目標(biāo),主要的表現(xiàn)形式為勒索、挖礦,比較新型的獲益形式則是出售受害目標(biāo)單位的訪問權(quán)限,如UNC1945組織和TA547組織,這類組織在獲取受害單位權(quán)限前后表現(xiàn)出截然不同的攻擊技術(shù)手段以及攻擊意圖的差別。
? 惡意軟件即服務(wù)(MaaS)在APT組織中逐漸流行,除了降低APT組織攻擊成本之外還加大了攻擊者歸因的難度。以TA系列組織為例包括:TA569、TA800、TA577、TA551、TA570等,在初始階段使用Trick、Dridex、Qbot、IcedID、ZLoader、Ursnif等惡意軟件感染盡可能多的受害單位,第二階段才分發(fā)WastedLocker、Ryuk、Egregor、Maze、Sodinokibi、ProLock等勒索軟件實(shí)現(xiàn)其攻擊意圖。
二. 新增APT組織
基于聚合的博客、公眾號等180個(gè)情報(bào)源,2020年10月至2021年9月期間,綠盟科技新增采集APT組織63個(gè),從309個(gè)增長至372個(gè),數(shù)量增長了約20%,平均每個(gè)月新增APT組織約5個(gè),如下圖所示:
APT組織情報(bào)新增趨勢
從APT組織地理歸屬上看,41個(gè)(約占65%)APT組織未能進(jìn)行有效的國家歸因,歸因于中國和俄羅斯的APT組織最多,分別為9個(gè)和4個(gè),需注意的是,目前APT組織的國家歸因復(fù)雜性非常高,部分報(bào)告披露的歸因證據(jù)其實(shí)并不充分,存在誤判和嫁禍的可能性。APT地理組織分布如下圖所示
APT組織地理分布
可歸因至確切國家的APT組織共22個(gè),且主要分布在亞洲(共15個(gè),占68%),其次分布在歐洲和非洲,分別為6個(gè)和1個(gè)。
APT組織地理分布(去除未知)
三. 活躍APT組織
基于綠盟科技云端上下文感知計(jì)算的APT組織追蹤技術(shù),2020年10月至2021年9月期間,共監(jiān)測發(fā)現(xiàn)57個(gè)APT組織的活躍線索,平均每個(gè)月活躍組織約19個(gè)。其中從2020年12月至2021年2月這三個(gè)月期間APT組織極為活躍,三個(gè)月平均活躍組織將近30個(gè)。
APT組織活躍態(tài)勢
監(jiān)測的57個(gè)APT組織中,最為活躍的10個(gè)組織分別為:TA505、Lazarus Group、MUMMY SPIDER、Viceroy Tiger、APT37、Sofacy、Mirage、OrangeWorm、TeamSpy Crew、Kimsuky,活躍月份均超過六個(gè)月。其中TA505和Lazarus Group在過去一年每個(gè)月均發(fā)現(xiàn)活躍線索,其次是MUMMY SPIDER和Viceroy Tiger,僅一個(gè)月沒有監(jiān)測到其攻擊活動。
APT組織活躍月份數(shù)
四. APT組織圖鑒介紹
在年鑒中,我們將2021年新增采集到的63個(gè)APT組織和活躍的56個(gè)APT組織按照綠盟科技構(gòu)建的APT組織檔案館結(jié)構(gòu)進(jìn)行了統(tǒng)計(jì)性的呈現(xiàn),以APT32(海蓮花)為例:
在表格右上方是按照鉆石模型對APT組織進(jìn)行各個(gè)維度的統(tǒng)計(jì)信息呈現(xiàn),表格最下方這是呈現(xiàn)該APT組織在綠盟科技云端APT知識圖譜中進(jìn)行圖可視化的情況,展現(xiàn)了該組織關(guān)聯(lián)的各類威脅知識的情況。圖鑒中所有APT組織均按照上表格式進(jìn)行呈現(xiàn),表格主體部分主要描述了APT組織名字、別名;歷史上攻擊的目標(biāo)國家、行業(yè);APT組織首次發(fā)現(xiàn)時(shí)間、最近活躍時(shí)間;動機(jī)和描述信息。
詳細(xì)的分析內(nèi)容和攻擊組織信息可以直接參考完整的《APT組織情報(bào)研究年鑒》
免責(zé)聲明:市場有風(fēng)險(xiǎn),選擇需謹(jǐn)慎!此文僅供參考,不作買賣依據(jù)。
關(guān)鍵詞:
相關(guān)閱讀
-
阿寬開放透明車間,品控監(jiān)督覆蓋產(chǎn)品全...
2月18日下午,第一食品資訊前往四川白家阿寬食品產(chǎn)業(yè)股份有限公司(... -
智能測試助力企業(yè)實(shí)現(xiàn)業(yè)務(wù)場景數(shù)字化改...
近年來,在人工智能、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等先進(jìn)技術(shù)的賦能下,萬... -
《人工智能基礎(chǔ)設(shè)施發(fā)展態(tài)勢報(bào)告》發(fā)布...
人工智能基礎(chǔ)設(shè)施作為新基建的重要部分,是人工智能產(chǎn)業(yè)賦能經(jīng)濟(jì)社會... -
精心調(diào)校面面俱到 HyperX火星2游戲機(jī)械鍵盤
態(tài)度決定一切,這不僅是專業(yè)廠商立足的根本,也是每一款產(chǎn)品可以收... -
北京冬奧會背后的黑科技:訊飛聽見用A.I...
近期,全民關(guān)注的頂流無疑就是北京2022年冬奧會,前有驚艷世界的天... -
草本魔力是什么長肉鬼才?我家貓一個(gè)月...
擁有一只胖嘟嘟的軟萌小貓咪,是每一位鏟屎官的夢想。那么如何讓貓...