近日,國內網絡信息安全領域領軍企業安恒信息發布《2021年度高級威脅態勢研究報告》(以下簡稱“報告”)。根據對2021全年攻擊事件的檢測和分析,報告基于高級威脅攻擊、攻擊團伙活動、重大攻擊事件、在野0day利用情況四方面進行分析總結,并提供了對2022攻擊態勢的七點研判預測。
(報告出品方:安恒威脅情報中心、獵影實驗室)
主要結論:
安恒威脅情報中心研究分析了2021年全球發現和披露的高級威脅事件、灰黑產行業的主要團伙以及2021 在野0day的披露情況,得到了以下發現:
1.根據2021年對全球高級威脅攻擊事件的統計,來自東亞地區的Lazarus組織、Kimsuky組織以及來 自東歐的APT29組織的攻擊數量位列前三,這幾個組織的攻擊受地緣政治因素影響,體現出高度針對性和復 雜性。此外,來自印度Bitter組織的攻擊事件占比排名第七,該組織在2021年多次針對我國軍工行業發起定 向攻擊。
2.從受害者的國家分布分析,韓國、美國遭到的攻擊占比最高,比重分別為11.67%、10.55%。APT組 織正嘗試擴大攻擊范圍,因此出現了一些新的受害國家。從受害者的行業分布來看,與2020年相同,政府部 門、國防部門和金融行業仍是APT組織的主要攻擊目標,總占比達到27.59%。
3.根據地域分布的APT組織活動具有以下特點:南亞地區的APT組織2021年整體處于較為活躍的狀 態,且主要圍繞著地緣政治沖突展開;越南國家背景的海蓮花組織是東南亞地區最主要的APT威脅;東亞地 區的APT組織數量較多,其中朝鮮背景的Lazarus和Kimsuky組織最為活躍;中東地區APT組織主要針對 政府、國防、學術等行業;東歐地區APT 組織的攻擊活動主要以中東、歐洲以及北美地區作為主要目標。
4.2021年,灰黑產行業高速發展,其中以勒索軟件團伙和間諜軟件供應商最為突出。上半年發生多起針 對關鍵基礎設施的勒索攻擊,給全球實體造成了巨大的經濟損失。此外,間諜軟件攻擊體現出高復雜性、難追 溯性等特點,成為當今最危險的網絡威脅之一。
5.2021年披露的在野0day數量達到58個。按漏洞類型劃分,占比最多的是遠程代碼執行漏洞,其次是 權限提升漏洞,分別占比57%和35%。
基于2021網絡態勢的特點,報告得出對于2022攻擊態勢的預測:
由于醫學研究和工業部門為國家發展的基礎部門,且具有高價值情報,因此將成為攻擊組織的重點目標;
APT組織和勒索團伙正積極發展供應鏈攻擊能力,因此預計軟件供應鏈攻擊也將在2022年變得更頻繁、更具破壞性;
此外,隨著數據泄露事件頻繁出現,攻擊者將利用獲取的敏感信息進一步發起更具針對性的攻擊。
重點內容摘取:
高級威脅篇
APT組織整體攻擊情況:
報告指出,根據威脅情報中心的監測情況來看,2021年發生了約201起APT攻擊事件。從披露報告的統計來看,今年APT組織活動主要集中在南亞和中東,其次是東亞地區,東南亞地區的APT組織攻擊有所放緩。另外,來自東歐的APT29組織今年非常活躍,該組織有著是俄羅斯國家背景,同時被美國白宮認為是SolarWinds攻擊事件的始作俑者,自事件發生后該組織仍在活躍,并持續針對各行業進行網絡間諜活動。
根據攻擊事件中的受害地區分布來看,出現了一些新的受害地區,例如阿富汗、哥倫比亞、格魯吉亞、拉脫維亞等國家。這可能表示APT組織正嘗試擴大其活動范圍。
根據行業分布來看,政府部門和國防部門仍是其主要的針對目標,其次是金融、航空,以及醫療衛生部門。
地域組織攻擊活動情況:
報告認為,東南亞地區的APT活動在今年有所減少。而東亞地區的APT活動在今年持續活躍,尤其是Lazarus組織,該組織除了常規的間諜活動外,還針對加密貨幣交易所及安全研究人員進行定向攻擊。中東地區由于其復雜的地緣政治問題,該地區的APT活動一直處于活躍狀態,在阿富汗國家被塔利班占領后,該地區的APT活動有所增加。中東地區的間諜活動所使用的有效負載也從之前的Windows客戶端慢慢過渡到Android移動端,其披露的很大部分攻擊都是來自移動平臺。南亞地區在APT攻擊中所使用的誘餌文件通常與新冠疫情相關,這可能與南亞部分地區嚴重感染新冠疫情有關,該地區的APT活動比較明顯的變化是其背后支持者對間諜活動加大資源投入,使其攻擊能力得到明顯提升,其中一個例子就是Bitter組織配備0day漏洞。東歐地區的間諜活動主要聚焦在APT29,該組織是SolarWinds事件的幕后黑手,即使被美國制裁后該組織仍處于高度活躍狀態,并在后續進行了多起攻擊事件。
攻擊團伙活動篇
報告指出,灰黑產行業在2021年飛速發展,一些網絡犯罪團伙甚至表現出APT組織的攻擊能力,其中以勒索軟件組織和間諜軟件供應商最為突出。以Colonial Pipeline攻擊事件為例,針對關鍵基礎設施的勒索攻擊會給全球實體造成巨大影響,大型勒索軟件團伙的實力不容小覷。另外,間諜軟件也是在2021年引起高度關注的威脅,其具有高復雜性、難追溯性等特點。商業間諜軟件行業能夠提供豐厚的利潤回報,因此間諜軟件服務逐漸成為復雜、國際化、具有巨大潛在威脅的產業。2021年披露了多起間諜軟件攻擊事件,引發了各界強烈的恐慌。
勒索軟件團伙:
2021年發生了約2000多起勒索軟件攻擊事件,攻擊者的活動主要集中在上半年,下半年披露的勒索事件數量有所放緩,這可能與5月份美國管道勒索事件有關,自該事件發生以來,各國政府就擬定多種政策,打擊以勒索軟件為主的網絡犯罪活動,一些勒索團伙因擔心被執法部門逮捕而宣布解散退出,其中包括Avaddon、BABUK、DarkSide、REvil和BlackMatter。勒索團伙宣布解散很可能是一種策略,以分散執行人員的注意力或逃避經濟制裁,這些組織的成員通常會在解散后再次重組,并以新的名稱、新的目標、新的勒索規則完成品牌重塑,并繼續進行勒索攻擊活動。例如DarkSide在解散后重組成BlackMatter,在DarkSide美國管道事件后的不久,該組織就宣布解散,但一個月后,就出現了名為BlackMatter的新勒索組織,研究人員發現BlackMatter與DarkSide在攻擊中使用的是相同的特殊加密方法,雖然不能完全確認BlackMatter是DarkSide的品牌重塑,但BlackMatter組織的部分成員很可能來自DarkSide。11月份,BlackMatter組織因執法壓力宣布解散,但不排除未來該組織會以新的品牌重塑再次卷土重來。
報告給出了過去幾年勒索軟件組織品牌重塑的大致時間線:
間諜軟件供應商:
商業間諜軟件是當今最危險的網絡威脅之一,據估計,全球的商業間諜軟件行業每年利潤約增長20%,豐厚的利潤回報將助長行業發展,并促使更多的供應商誕生。間諜軟件供應商都遵循低調、保密的處事方式,還存在很多尚未被曝光的供應商,本篇報告重點介紹了三個提供間諜軟件服務或監視產品的間諜軟件供應商:NSO Group、Candiru以及Cytrox。
新披露組織:
此外,今年披露了一些新的黑客組織,包括雇傭黑客組織Void Balaur、針對中東地區的Agrius組織以及以打擊以色列猶太復國主義政權為目標的Moses Staff組織,本篇報告也詳細介紹了這三個新型攻擊團伙。
2021年重大網絡攻擊事件回顧
2021年,網絡攻擊的速度和規模以驚人的速度發展,從針對個人的社會工程攻擊到針對基礎設施的勒索攻擊,網絡攻擊對個人、企業和政府都構成了重大威脅。回顧2021,報告整理了6件重大攻擊事件,并提供了相應的分析研判,其中包括:Solarwinds軟件供應鏈攻擊事件、黑客入侵佛羅里達水廠系統投毒事件、DarkSide組織攻擊美國輸油管道運營商事件、Revil組織利用Kaseya產品漏洞發起大規模供應鏈勒索攻擊、Lazarus組織持續針對安全研究人員、Log4j漏洞事件。
2021在野0day總結
根據安恒威脅情報中心的統計,2021年全年一共披露主流廠商的在野0day58個。其中CVE-2021-1732和CVE-2021-33739兩個在野0day由安恒威脅情報中心捕獲并披露。從2018年到2021年披露的在野0day的數量趨勢圖來看,近年來在野0day數量逐年增多,2021年這一趨勢最為明顯,2021全年披露的在野0day數量超過了2020年的兩倍。
從在野0day涉及廠商的分布情況來看,2021年被披露在野0day最多的廠商是微軟,其次是谷歌和蘋果。
此外,報告還梳理了2021年在野0day和具體使用組織的關聯情況:
重點事件:
在2021年披露的58個在野0day中,報告梳理了若干最值得關注的漏洞及8個與之相關聯的重點事件。其中包括:蔓靈花組織首次使用0day、朝鮮APT組織使用社會工程學和瀏覽器0day攻擊安全研究人員、多個Exchange 0day橫空出世、Chrome 0day數量連續第二年大幅增加、Windows提權0day數量較往年翻倍、蘋果產品的0day數量爆發式增長、IE 0day數量依然較多,與Office結合更為深入、AdobeReader 0day重現江湖。
2022年在野0day趨勢預測:
在總結了2021年的在野0day后,報告對2022年在野0day趨勢做如下預測:
Chrome瀏覽器的0day攻擊仍會持續出現
Windows提權0day會伴隨Chrome 0day或AdobeReader 0day一起出現,而且非win32k漏洞占比會較高
Exchange 0day在2022年會有很大概率繼續被用于攻擊
針對Safari瀏覽器的0day攻擊和針對iOS、MacOS的提權0day攻擊會繼續出現
針對iOS等移動設備的零點擊漏洞可能還會出現,但由于其技術壁壘極高以及使用成本高昂,即使被披露也只可能有零星案例
DarkHotel組織有較大概率在2022年上半年繼續使用新的IE 0day進行攻擊
朝鮮APT組織有很大可能會繼續結合社會工程學對安全研究人員進行攻擊,且有較大可能會配合0day漏洞一起進行攻擊
2022年攻擊態勢研判預測
基于對2021年高級威脅攻擊、攻擊團伙活動、重大攻擊事件、在野漏洞利用情況的分析,報告得出對2022攻擊態勢的七點研判預測,包括2022年易受攻擊的行業、流行的攻擊手法、攻擊特點等。
醫學研究將持續成為威脅攻擊者的目標
ICS工業環境面臨的威脅將持續增長
可能會出現更多的軟件供應鏈攻擊
雇傭間諜軟件服務將更加流行
垃圾郵件活動將更具針對性
勒索軟件將繼續主導威脅格局
針對移動設備的攻擊或會增加
*** 溫馨提示:點擊此處即可下載報告全文(請在微信端打開鏈接)***
注:本文圖片均來源于報告
