欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

2019全球高级持续性威胁(APT)研究报告

来源:本站整理 作者:佚名 时间:2020-03-08 TAG: 我要投稿

一、前言
高级可持续性攻击,又称APT攻击,通常由国家背景的相关攻击组织进行攻击的活动。APT攻击常用于国家间的网络攻击行动。主要通过向目标计算机投放特种木马(俗称特马),实施窃取国家机密信息、重要企业的商业信息、破坏网络基础设施等活动,具有强烈的政治、经济目的。
整个2019年,虽然没有太过于轰动的攻击事件,但是攻击的事件却有增无减。腾讯安全威胁情报中心根据团队自己的研究以及搜集的国内外同行的攻击报告,编写了该份2019年APT攻击研究报告。根据研究结果,我们认为主要的结论如下:
1、 中国依然是APT攻击的主要受害国,受到来自于东亚、东南亚、南亚、欧美等各个区域的网络威胁;
2、网络攻击形势跟地域政治局势有相当密切的关联,地域安全形势复杂的地区,往往是APT攻击最为严重和复杂的地区;
3、多平台的攻击能力已经成为大量APT攻击者组织的标配能力;
4、0day依然是最有效的攻击工具,一些组织依然不计成本来购买会自己挖掘0day来进行攻击。
二、2019年高级可持续性威胁概览
2019年在网络安全领域是个不平静的一年,虽然没有像WannaCry那样具有全球轰动效应的网络攻击事件,但是常态化的攻击事件确有增无减。这一年来,网络安全事件频发,高级持续性威胁(APT)也处于持续高发状态,无论是APT组织数量,还是APT攻击频率,相比往年都有较大的增长。腾讯安全威胁情报中心针对全球所有安全团队的安全研究报告进行研究,并提取了相关的指标进行持续的研究和跟踪工作。同时,我们针对相关的研究报告进行了一个梳理和归纳,经过不完全统计,2019年全球安全厂商披露的总报告数量近500起,这数据一个可以说明全球APT攻击态势呈现增长态势,另一个也说明安全厂商也投入了更多的经历研究和对抗APT攻击。

图1:2015至2019年,全球主要厂商披露的APT攻击事件数量
大部分APT组织背后都有着深厚的政府背景,他们不惧怕法律的打击,也不会因为安全厂商的披露而停止攻击活动,大部分攻击者在攻击活动被暴露后会改头换面、更新自己的武器库后重新发起新一轮的网络攻击,更有部分组织对安全厂商的曝光毫不在意,曝光后毫不收敛甚至变本加厉继续对目标发起攻击,据不完全统计,在2019年全球各大安全厂商披露的APT攻击事件中,新组织所占的比例不足2成,绝大部分是老组织新的攻击活动,这也直接印证了攻击不会因为曝光而停止,APT与反APT的对抗是长期战斗。

图2:2019年曝光的APT组织新旧对比
从国内受害者的性质来看,政府、央企国企、科研单位和高校依然是APT攻击的重灾区,尤其是涉及对外进出口、国防军工、外交等重点单位,从行业分布上看,受攻击最多的是政府,其次是金融行业、军工行业、科研单位、高校。此外基建、软件、传媒等行业也是APT攻击的重点目标。

图3:2019年中国大陆被攻击目标属性分布
而从攻击地域上来看,根据腾讯安全威胁情报中心的统计显示(不含港澳台地区),2019年中国大陆受APT攻击最多的地区为北京和广西,此外还有辽宁、云南、海南、四川、广东、上海、浙江、山东、黑龙江等。详见下图(不含港澳台地区)。

图4:2019年中国大陆被APT攻击的地区分布图
三、中国面临的APT攻击威胁
中国历来都是APT攻击的主要受害国,随着中国经济的快速发展,以及国际地位的不断攀升,中国面临的外部威胁形势更加严峻。根据腾讯安全威胁情报中心的监测以及公开的报告和资料,我们将在2019年对中国大陆有过攻击的组织按疑似的地理位置分为东亚方向、东南亚方向、南亚方向、其他方向。
组织归属地
代表
东亚
DarkHotel、Higaisa(黑格莎)、Group123(APT37)、Lazarus、穷奇等
东南亚
海莲花(APT32)
南亚
BITTER(蔓灵花)、Patchwork(白象)、Sidewinder(响尾蛇)等
其他
Lamberts、Turla等
表1:2019年攻击中国的APT组织地域分布表
3.1   东亚方向的威胁
东亚的威胁主要来自朝鲜半岛等地区,该地区向来是全球政治冲突、军事冲突的敏感地带,也是APT活动的热点区域之一。此方向的APT组织具有很强的政治背景,常攻击我国政府、外贸、金融、能源等领域的公司、个人及相关科研单位。该方向黑客组织十分庞大,往往呈集团化运作,有国家力量背书。在整个2019年,该方向的攻击组织,包括Darkhotel、Higaisa(黑格莎)、Lazarus、Group123(APT37)、毒云藤、穷奇等都非常的活跃,均有对国内的目标进行钓鱼活动和攻击。
3.1.1  DarkHotel和Higaisa(黑格莎)
DarkHotel自2014年该组织被卡巴斯基曝光以来到如今已经5年多了,被曝光以后,该组织不断对其攻击方式和武器库进行更新,以求攻击的更隐蔽,攻击成功率更高,以及更难以清除等。而黑格莎(Higaisa)为腾讯安全威胁情报中心在2019年11月最先披露的APT攻击组织,该组织常常在节假日来临的时候,通过发送节日问候的邮件来进行钓鱼攻击。目前暂无更多的证据来证明这两个组织之间存在一定的关联,或者说是同一个组织分化的不同攻击小组,但是由于这两个组织都来自于朝鲜半岛,而且攻击的方式和手段、以及攻击的目标都有一定的类似性,因此我们暂且把DarkHotel和Higaisa放在一起来进行描述。后续我们会持续的跟踪这两个组织的新的攻击动向,以求找到更多的证据来证明这两个组织同属一家或者具有不同的组织背景。

[1] [2] [3] [4] [5] [6] [7] [8] [9]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载