2021年上半年全球高级持续性威胁(APT)研究报告
2021-10-18 18:20

报告编号:B6-2021-101802

报告来源:360CERT

报告作者:360CERT

更新日期:2021-10-22

0x01   前言

2021年上半年,全球高级持续性威胁(APT)整体形势依然严峻,发现和披露的APT攻击活动较去年同期大幅增加。上半年全球公开报告数量492篇,其中披露的攻击活动涉及APT组织90个,首次披露的组织17个,无论报告数量还是组织数量都已超去年同期。从全球范围看,APT攻击活动还是重点关注政治、经济等时事热点。目标主要针对政府、国防军工、科研等行业领域。今年全球疫情仍然肆虐,局部地区疫情形势相比去年甚至更加严峻,围绕“新冠疫情”开展的相关攻击活动继续处于高位。上半年攻击活动中利用的0day漏洞数量已超过去年全年总和,达到历史新高。上半年爆发的针对美国最大燃油管道运营商和爱尔兰卫生服务部门在内的一系列针对关键基础设施的勒索攻击事件,体现出勒索攻击不断APT化的发展趋势。勒索威胁逐渐上升到事关国家安全的层面,已成为全球网络安全的共同挑战。

今年上半年,我国率先进入疫情后全面经济复苏和建设阶段,在此新形势下,境外APT组织针对我国的攻击持续活跃,较去年同期大幅上升。依托强大的安全能力,360在过去累计发现了46个其他国家背景的APT组织,监测到3600多次对中国的国家级网络攻击。上半年,360捕获到对中国地区发起攻击涉及的组织12个,其中首次发现的组织2个:APT-C-59(芜琼洞)、APT-C-60(伪猎者)。针对中国地区的APT攻击事件统计结果显示:境外APT组织依然针对我国政府、科研和国防军工等领域重点目标,其中来自于东亚、南亚和东南亚的APT组织针对我国攻击最为活跃。对向教育领域高等学校的攻击活动进行分析发现,攻击瞄准的目标实则是我国国防军工和科技创新体系,反映出APT组织通过对关键行业横向领域的攻击和渗透,从而进一步实现对目标行业的攻击。在南亚、东南亚地区疫情反弹期间,针对医疗卫生、媒体行业的攻击凸显。另外,针对城市区域性的攻击威胁持续不断,加以万物互联下,智慧城市的攻击面不断扩大,城市数字化转型下APT威胁加剧。ICT供应链攻击威胁进一步升级,针对中介招标代理机构的攻击愈发频繁。

今年是“十四五”开局之年,我国将开启全面建设社会主义现代化国家新征程、向第二个百年奋斗目标进军,随着数字经济进入新的发展阶段,我国网络安全建设面临着新的挑战和不稳定因素。此次疫情加速了全球政治经济格局重塑,未来在后疫情时代,全球经济逐步进入复苏阶段。在地缘政治、治理体系潜在风险等因素的影响下,加之世界经济重心东移趋势日显,势必会导致大国博弈更加激烈。在此新形势下,针对我国的国家级网络攻击,APT组织的数量和活跃程度以及攻击技战术的复杂度,或将超过以往。国家级的高级威胁防御领域更加需要包含360政企安全在内的广大网络安全企业和从业者同心协力,为国家各项基础设施建设保驾护航,守卫社会主义现代化建设成果,为坚定不移建设制造强国、质量强国、网络强国、数字中国贡献力量。

2021年上半年中国地区受影响行业分布

2021年上半年针对中国地区TOP10境外APT组织

0x02   整体攻击态势

- 全球疫情严峻形势下境外APT组织针对我国的攻击持续活跃,进一步围绕“新冠疫情”相关攻击活动依然处于高位,如以“疫情防控”、“疫苗接种”等为由的攻击。另外在4月南亚、东南亚等地区疫情严重加剧期间,境外多个方向APT组织(APT-C-00、APT-C-08、APT-C-59等)针对我国医疗卫生机构的攻击异常活跃;

- APT攻击紧跟时事热点,上半年针对时事热点的跟进频次和细分粒度已明显超过去年同期,从3月个税申报到6月我国航天热点时事,相关针对的热点事件多达十多起;

- 仿冒目标单位邮箱系统的钓鱼网站攻击频发,攻击者通过社会工程学直接窃取目标用户邮箱账号和密码;

- 2021上半年0day漏洞攻击频发,上半年攻击活动中利用的0day漏洞数量已超过去年全年总和,而且达到历史新高;Exchange 0day漏洞攻击爆发,中国亦是主要受害者;

- 勒索攻击APT化,高级威胁技术、定向攻击手段层出不穷:勒索病毒威胁成为全球共同挑战,勒索威胁事关国家安全;网络威胁开始超越传统安全威胁,关键基础设施成为黑客攻击目标;勒索危害加剧,信息泄露、双重勒索成主流;

- APT组织与安全机构之间的正面对抗不断升级,境外APT组织APT-C-26针对安全研究人员发起社会工程学定向攻击,该攻击活动至少筹划了一年时间以上。

0x03   行业领域关键核心战场形势

- 政府、教育、科研是重灾区,受攻击影响占整体超七成。另外医疗、媒体威胁凸显;

- 城市数字化转型下APT威胁加剧,主要体现在针对城市区域性的攻击威胁不断,进一步万物互联下智慧城市的攻击面持续扩大;

- ICT供应链攻击威胁进一步升级,优先针对目标行业头部供应商,另外出现一种新型的供应链攻击:针对中介招标代理机构;

- 针对高等学校的攻击活动实则瞄准了我国国防军工和科技创新体系。

0x04   报告下载链接

http://pub-shbt.s3.360.cn/cert-public-file/2021年上半年全球高级持续性威胁(APT)研究报告-1015.pdf