




版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
20222022年高級(jí)持續(xù)性威脅APT)態(tài)勢(shì)報(bào)I軍事等國(guó)家安全領(lǐng)域緊密聯(lián)系起來(lái)。5G、云計(jì)算、物聯(lián)網(wǎng)、工2013年,網(wǎng)絡(luò)安全行業(yè)發(fā)布第一份APT分析報(bào)告。至今,APT分析已走過(guò)十個(gè)年頭,APT網(wǎng)絡(luò)攻擊圖景也在不斷更新迭代。各類APT組織猶如正規(guī)網(wǎng)絡(luò)部隊(duì)之外的“散兵游勇”,組織中國(guó)信息安全測(cè)評(píng)中心長(zhǎng)期跟蹤、研究APT態(tài)勢(shì),此次聯(lián)源數(shù)據(jù)和公開(kāi)報(bào)道開(kāi)展態(tài)勢(shì)評(píng)估,研判APT組織發(fā)展趨勢(shì)、攻 8 9 20 2.入侵:社交媒體釣魚(yú)持續(xù)盛行,水坑攻 4.橫向移動(dòng):敏感服務(wù)仍為眾矢之的,CS工 35 36 38 43 44 44 45 47 48 482.Polonium組織善于利用云服務(wù)進(jìn) 48V 50 51 53 54 55 59 6反映網(wǎng)絡(luò)空間格局變化的“晴雨表”與“風(fēng)向標(biāo)”。俄烏沖突作為2022年最為突出的地緣政治事件,激化APT組織形成持續(xù)至今馬未動(dòng),木馬先行”成為新常態(tài);在目標(biāo)上,持續(xù)攻擊政府、軍絡(luò)空間代理人戰(zhàn)爭(zhēng)”顯現(xiàn);在范圍上,影響外溢至其他國(guó)家和地7抗和反溯源技術(shù);新興APT組織“陰謀”涌現(xiàn),攻擊危害不容忽視。新老APT組織還利用開(kāi)源工具、設(shè)置假旗、濫用合法憑證5.APT攻防向體系化方向發(fā)展,網(wǎng)絡(luò)空間“對(duì)等打擊”“相互名羞辱”“精準(zhǔn)制裁”等成為美西方網(wǎng)絡(luò)霸權(quán)的新手段,渲染、強(qiáng)8一、2022年全球APT態(tài)勢(shì)圖景2022年,全球APT攻擊數(shù)量再創(chuàng)新高,呈現(xiàn)出全域展開(kāi)、APT是網(wǎng)絡(luò)空間與地緣政治互動(dòng)的產(chǎn)物,APT組織活躍趨年全球APT活動(dòng)進(jìn)入新一輪活躍期。一是攻擊總量增多。根據(jù)國(guó)內(nèi)多家安全廠商的統(tǒng)計(jì)顯示,2022年的APT攻擊總量高于泛。三是攻擊形式多樣。2022年,APT組織攻擊形式有一個(gè)明宣傳部門,還是攻擊致泄露大量個(gè)人信息,部分APT組織正在地緣政治目標(biāo)一直是APT組織任務(wù)的核心,熱點(diǎn)地緣政治9擊激增。俄烏沖突作為近年最典型的地緣事件,成為推動(dòng)2022南亞地區(qū)、東北亞等熱點(diǎn)區(qū)域現(xiàn)實(shí)沖突不斷,網(wǎng)絡(luò)空間的APT攻擊相應(yīng)配合,相關(guān)國(guó)家所涉APT攻擊“高位運(yùn)行”,如圖1所圖1:2022年度APT主要攻擊目標(biāo)國(guó)家分布),圖2:2022年度APT主要攻擊目標(biāo)機(jī)構(gòu)分布部落”(TransparentTribe)等傳統(tǒng)老牌APT組織在2022年持續(xù)圖3:2022年度主要APT攻擊組織分布2022年,全球政治亂象紛呈,大國(guó)博弈趨于白熱,APT攻太戰(zhàn)略》,攪動(dòng)印太局勢(shì);東北亞和南亞APT組織伺機(jī)而動(dòng);印度與巴基斯坦APT攻擊持續(xù)高漲;伊朗和以色列之間APT攻俄烏沖突作為2022年最為突出的地緣政治事件,激化APT演著戰(zhàn)場(chǎng)“偵察兵”角色。早至2021年下半年,雙方能源和通信頻低烈”的行動(dòng)增多,攻心為上,以影響對(duì)方輿論場(chǎng)的信息戰(zhàn)行APT攻擊從最早聚焦于軍事目標(biāo)以及關(guān)鍵基礎(chǔ)設(shè)施到后來(lái)拓展國(guó)防部、軍事通信部門以及國(guó)防承包商等涉軍機(jī)構(gòu)成為APT攻斯天然氣、礦業(yè)、金融等重要信息系統(tǒng)等均遭到嚴(yán)重攻擊,“北溪2號(hào)”天然氣管道運(yùn)營(yíng)商就曾因網(wǎng)攻暫時(shí)關(guān)閉網(wǎng)站。此外,俄大信息泄露事件。如,12萬(wàn)參戰(zhàn)俄羅斯軍人個(gè)人信息、俄羅斯銀行1TB的數(shù)據(jù)等。泄露個(gè)人信息是國(guó)家級(jí)沖突影響普通個(gè)體引發(fā)全球關(guān)注,除來(lái)自俄烏兩國(guó)的APT組織,域外國(guó)家、組織甚至個(gè)人或直接或間接參與到?jīng)_突中,現(xiàn)實(shí)國(guó)際關(guān)系中的“區(qū)域戰(zhàn)”演變?yōu)樘摂M網(wǎng)絡(luò)空間的“全體戰(zhàn)”。一方面,國(guó)際性黑客組織對(duì)俄羅斯發(fā)起網(wǎng)絡(luò)攻擊,各類國(guó)際黑客組織相繼發(fā)表立場(chǎng)聲明,意圖“渾水摸魚(yú)”擴(kuò)大聲勢(shì)。如,“匿名者”向俄方宣戰(zhàn),針對(duì)俄政壓力較大,攻擊數(shù)量多難以追蹤溯源,許多域外國(guó)家APT組織思科、ESET等網(wǎng)絡(luò)安全企業(yè)利用先進(jìn)的遙測(cè)技術(shù)遠(yuǎn)程“勘探”戰(zhàn)場(chǎng),充當(dāng)網(wǎng)絡(luò)攻防的“軍師”,向?yàn)蹩颂m提出應(yīng)對(duì)措施和建議,并公開(kāi)發(fā)布網(wǎng)絡(luò)安全報(bào)告,持續(xù)披露來(lái)自俄羅斯網(wǎng)絡(luò)攻擊的策略、造俄羅斯在網(wǎng)絡(luò)空間“恃強(qiáng)凌弱”的形象,激發(fā)更多立場(chǎng)傾向明顯四是范圍上,APT影響外溢其他國(guó)家和地區(qū)。隨著隊(duì)”國(guó)家或組織進(jìn)行攻擊。如,俄烏沖突爆發(fā)后,支持烏克蘭的2.東北亞安全局勢(shì)推動(dòng)APT組織“高位運(yùn)轉(zhuǎn)”“半島爭(zhēng)端”由來(lái)已久,朝韓兩國(guó)的APT攻擊淵源頗深,在韓總統(tǒng)尹錫悅改變前任的溫和政策,積極參與“印太經(jīng)濟(jì)框架”事威懾并強(qiáng)化制裁等強(qiáng)硬舉措,直接加劇了東北亞局勢(shì)緊張。為代表的典型APT組織的高活躍度正是對(duì)于該地區(qū)局勢(shì)趨緊的一是半島政治問(wèn)題是熱點(diǎn)誘餌。APT組織一直善于利用能將目標(biāo)延伸至化工和信息技術(shù)相關(guān)部門,以實(shí)疑似來(lái)自韓國(guó)的APT組織“黑店”2利用新的火狐瀏覽器的零日漏印巴沖突持續(xù)數(shù)十年,早已從現(xiàn)實(shí)沖突延伸到網(wǎng)絡(luò)空間。2022年,美國(guó)轉(zhuǎn)向“印太”,明確印度作為“四邊安全對(duì)話”“印太經(jīng)濟(jì)框架”等機(jī)制的重要成員,積極拉攏孟加拉國(guó)略”圈,系列舉動(dòng)打破地區(qū)平衡,刺激巴基斯坦逐漸回歸與印度對(duì)抗的傳統(tǒng)政策?;诖耍绊懳采摺保⊿ideWinder)、“蔓靈花”/apt-trends-report-q2-2022/106995/觀點(diǎn)來(lái)自俄羅斯網(wǎng)絡(luò)安全公司卡巴斯基分析“肚腦蟲(chóng)”(DoNot)至少?gòu)?016年開(kāi)始活躍,主要針對(duì)巴基斯坦、斯里蘭卡、孟加拉國(guó)和一是軍情部門是眾矢之的。在南亞地區(qū)的APT組織中,軍“透明部落”針對(duì)印度軍事人員,“摩訶草”針對(duì)巴基斯坦國(guó)防部,“金剛象”針對(duì)巴基斯坦軍方,均發(fā)起有組織、有政策也會(huì)招致外部APT組織的干擾。如,2022年下半年,巴基斯坦在反恐方面的高調(diào)表現(xiàn)引發(fā)了印度APT組織“摩羅桫”(Confucius)4的關(guān)注,針對(duì)巴基斯坦木爾坦地區(qū)的武裝力量發(fā)起攻擊。二是重要群體成攻擊熱門。為擴(kuò)大攻擊效果,許多APT組間跳板,并選取在特別時(shí)機(jī)開(kāi)展攻擊。如,“蔓靈花”在2022年錯(cuò)綜復(fù)雜的政治局勢(shì)使得中東地區(qū)一直都是APT攻擊的高發(fā)區(qū),從“震網(wǎng)”到Duqu,網(wǎng)絡(luò)戰(zhàn)在中東儼然成為常態(tài),在軍事Confucius疑似由印度資助,從2013年開(kāi)始執(zhí)行網(wǎng)絡(luò)攻擊活動(dòng),戰(zhàn)中的地位越來(lái)越凸顯。中東地區(qū)活躍的APT組織主要包括司展開(kāi)攻擊。重點(diǎn)實(shí)體也逐漸成為主要攻擊目標(biāo)二是直接配合軍事行動(dòng)。2022年,伊朗和以色列沖突多烈病毒(又稱為iLOBleed)正針對(duì)惠普企業(yè)服務(wù)器展開(kāi)攻擊,可從遠(yuǎn)程感染設(shè)施并擦除數(shù)據(jù)。2022年6月,疑似來(lái)自以色列的的APT組織對(duì)伊朗多家鋼鐵制造商實(shí)施三起大規(guī)模攻擊,造成/sophisticated-ilobleed-rootkit-targets-hp-servers/倆”。雖然新冠疫情在全球已近結(jié)束,但是許多APT組織仍在利用公眾恐慌來(lái)開(kāi)發(fā)各種惡意軟件變體,形成獨(dú)具風(fēng)格的“后疫情類攻擊鏈條中,使用帶有新冠疫情主題的電子郵件或惡意鏈接,攻擊維持高位。受疫情影響,部分經(jīng)濟(jì)目標(biāo)導(dǎo)向的APT組織將取錢財(cái)。如,朝鮮黑客組織利用Maui勒索軟件攻擊醫(yī)療保健和/cn/zh/pages/risk/articles/threat-advisory-cybercriminal-activity-織利用Exchange郵件服務(wù)器零日漏洞發(fā)起攻擊;較多公司在疫情期間所使用的AtlassianConfluence軟件被檢測(cè)到漏洞利用情傳統(tǒng)的APT攻擊主要集中于政府、軍工、電力、能源、外當(dāng)一部分對(duì)于經(jīng)濟(jì)訴求較為明顯的APT組織活動(dòng)更趨頻繁,逐標(biāo),“不僅尋求信息,還追求金錢”7成為當(dāng)前APT組織復(fù)雜性的表現(xiàn)之一。2022年,涉及挖礦軟件、勒索攻擊、竊取加密貨幣勒索加密實(shí)施真實(shí)攻擊的掩護(hù),也包含APT組織本身以牟利為/about/press-releases/2022_low-level-implants-crypt-geopolitical-attacks-what-apt-actors-g二、我國(guó)是APT主要受害國(guó)我國(guó)面臨的APT網(wǎng)絡(luò)攻擊威脅是全方位的,風(fēng)險(xiǎn)源既有國(guó)家背景的超高能力威脅行為體,如,美國(guó)國(guó)家安全局網(wǎng)攻組織圖4:2022年度受害目標(biāo)涉及中國(guó)的公開(kāi)報(bào)告數(shù)量月度分布2022年針對(duì)中國(guó)的APT攻擊呈現(xiàn)持續(xù)高發(fā)狀態(tài),國(guó)內(nèi)安全公司公開(kāi)發(fā)布的受害目標(biāo)涉及中國(guó)的活躍組織分析報(bào)告22份,攻擊事件遠(yuǎn)高于公開(kāi)披露數(shù)據(jù),僅對(duì)我攻擊的APT組織就達(dá)數(shù)表1:針對(duì)我國(guó)的部分APT組織“方程式”隸屬于NSA,其用于針對(duì)我國(guó)內(nèi)目標(biāo)的頂級(jí)后門“Bvp47”、“酸狐貍”漏洞攻擊武器平臺(tái)、“驗(yàn)證器”(Validator)木馬程序、“飲茶”(Suctionchar_Agent)木馬程序等攻擊武器先后被披露BlueNoroff“黑店”“蔓靈花”“海蓮花”“摩訶草”Patchinfecter木馬、Infectedloader“暗象”2022年,我國(guó)大量IP與多個(gè)境外APT組織C2服務(wù)器(Command&ControlServer,遠(yuǎn)控服務(wù)器)發(fā)生通信行為,攻著高于其他時(shí)期,6月份境內(nèi)疑似受控的IP數(shù)量甚至達(dá)到了12月的2倍,如圖5所示。圖5:2022年中國(guó)境內(nèi)疑似受控IP數(shù)量月度分布圖6:2022年每月受控IP數(shù)量與2021年同期對(duì)比圖7:2022年APT組織控制境內(nèi)IP數(shù)量占比及C2服務(wù)器數(shù)量分布非法連接,主要發(fā)起攻擊的APT組織具體占比情況如圖7所示。絡(luò)攻擊,憑借其復(fù)雜的技術(shù)手段,難以窺其全貌。2022年曝光的美國(guó)安局所屬的“方程式”對(duì)我國(guó)內(nèi)重要基礎(chǔ)設(shè)施發(fā)起多起大各APT組織在長(zhǎng)期針對(duì)我國(guó)網(wǎng)絡(luò)攻擊中逐漸“摸清”我重要年5月針對(duì)我國(guó)產(chǎn)化系統(tǒng)的定向攻擊中專門基于我國(guó)產(chǎn)化系統(tǒng)木馬程序8?!澳υX草”在對(duì)我攻擊活動(dòng)中所使用的后門程序在連AgainstTheWest(ATW)黑客組織早期主要針對(duì)SonarQube代碼質(zhì)量管理平臺(tái)進(jìn)行攻擊,在2022年初其攻擊目標(biāo)又?jǐn)U大到我部分APT組織為實(shí)現(xiàn)更深層次的控制和隱蔽,不斷更新迭規(guī)避、繞過(guò)網(wǎng)絡(luò)、主機(jī)等層面檢測(cè)。如,“摩訶草”在2022年的流量層面的隱藏;攻擊載荷中增加對(duì)重點(diǎn)API到我國(guó)目標(biāo)系統(tǒng)的攻擊事件高發(fā)。Log4j作為近兩年來(lái)?yè)?jù)統(tǒng)計(jì),僅2022年上半年,我國(guó)內(nèi)遭受利用Log4j漏洞的攻擊資料來(lái)源于奇安信威脅情報(bào)中心/s/BXjZ6fE/s/IwcxY3T涉華APT組織重點(diǎn)關(guān)注政府、科研、金融等關(guān)鍵信息基礎(chǔ)圖8:2022年高級(jí)威脅事件涉及境內(nèi)行業(yè)分布情況涉華APT組織在長(zhǎng)期攻擊活動(dòng)中形成一定的行業(yè)傾向,如/news/216220/sonicwall-2022-cyber-threat-report表2:針對(duì)我國(guó)境內(nèi)目標(biāo)的活躍APT組織及其關(guān)注的行業(yè)領(lǐng)域“海蓮花”“毒云藤”“金眼狗”“蔓靈花”“摩耶象”“摩訶草”2022年,中國(guó)境內(nèi)疑似連接過(guò)境外APT組織C2服務(wù)器的IP地址數(shù)量較多的前10個(gè)省份地域如圖9所示??梢钥闯觯?jīng)濟(jì)發(fā)達(dá)省份和政治中心是境外APT組織重點(diǎn)攻擊的主要目標(biāo)地區(qū),其中,北京市是APT組織的重點(diǎn)目標(biāo)地區(qū),其次是廣東、圖9:2022年中國(guó)境內(nèi)疑似受控IP地域分布針對(duì)北京市進(jìn)行攻擊的境外APT組織依然主要來(lái)自我國(guó)周表3:攻擊北京市內(nèi)目標(biāo)的境外APT組織排名1“海蓮花”5“肚腦蟲(chóng)”2“毒云藤”6“金眼狗”37“響尾蛇”4“拉撒路”8“摩訶草”后門部署、網(wǎng)絡(luò)攻擊等活動(dòng),其中APT是重要手段。2022年曝光的美國(guó)對(duì)我APT攻擊事件中,顯示美對(duì)我開(kāi)展大規(guī)模、長(zhǎng)時(shí)隸屬于美國(guó)的APT組織技術(shù)復(fù)雜、溯源難度大,在針對(duì)目均是潛伏多年的老練APT組織,APT-C-40針對(duì)系列行業(yè)龍頭企業(yè)長(zhǎng)達(dá)十余年時(shí)間的攻擊活動(dòng)12就是美對(duì)我長(zhǎng)期開(kāi)展網(wǎng)絡(luò)情報(bào)刺3.攻擊目標(biāo)“精”要技術(shù)領(lǐng)域,2022年3月份曝光的美國(guó)國(guó)家安全局(NSA)針更加聚焦的攻擊目標(biāo)以及更高級(jí)的手段運(yùn)用也是美國(guó)區(qū)別于其中,美國(guó)各級(jí)別的盟友在攻擊鏈中占據(jù)關(guān)鍵節(jié)點(diǎn)。2022年6月代理服務(wù)器,廣泛分布在日本、韓國(guó)、瑞典、波蘭、烏克蘭等17個(gè)國(guó)家,其中70%位于中國(guó)周邊國(guó)家14??梢钥闯觯拔逖勐?lián)盟”此類在傳統(tǒng)地緣中結(jié)成的聯(lián)盟在網(wǎng)絡(luò)空間依然聯(lián)結(jié)緊密。美/head/zhaiyao/news202209三、典型手法圖10:APT攻擊流程圖2022年度,APT組織在入侵、執(zhí)行、橫向移動(dòng)、命令控制一方面,大量個(gè)人數(shù)據(jù)泄露成為APT組織開(kāi)展目標(biāo)偵察的不斷增多,預(yù)計(jì)類似上述通過(guò)清洗數(shù)據(jù)確認(rèn)攻擊目標(biāo)的APT偵另一方面,APT組織更為主動(dòng)挖掘目標(biāo)信息。并不滿足于如,有APT組織會(huì)主動(dòng)購(gòu)買商業(yè)化的威脅情報(bào)類數(shù)據(jù),通過(guò)搜一是借助社交媒體搜索“目標(biāo)獵物”。推特、領(lǐng)英、Discord件,竊取受害者設(shè)備的信息15。此外,攻擊者更為頻繁地滲透特件入侵的手段。如,Phosphorous組織在發(fā)送惡意郵件前,會(huì)首三是巧用流量推廣開(kāi)展水坑攻擊。APT組織正在提高水坑釣魚(yú)的攻擊效率。如,“透明部落”在2022年下半年一次針對(duì)印度政府的活動(dòng)中,搭建一個(gè)偽造Kavach應(yīng)用程序下載頁(yè)面的水/en-us/security/blog/2022/09/29/zinc-weaponizing-open-/research/notice&report/research_report/20221223.html/2022/check-point-research-exposes-an-iranian-phisheting-former-israeli-foreign-minister-former-us-ambassador-idf-general-and-defense-industr其在反檢測(cè)與繞過(guò)(Bypass)方面的能力。2022年度,APT組一是繞過(guò)技術(shù)創(chuàng)新。繞過(guò)技術(shù)是體現(xiàn)APT組織技術(shù)能力的重要方面。如,“拉撒路”組織使用BYOVD(BringYourOwn區(qū)域18。其他繞過(guò)及代碼執(zhí)行技術(shù)包括:HTML夾帶19、盜取證書簽名等20、鼠標(biāo)懸停觸發(fā)21。另外,側(cè)加載技術(shù)作為一種普遍使用的繞過(guò)攻擊技術(shù)在2022年利用更廣泛,如“響尾蛇”擊者并未將原始python39.dll文件移除替換,而是直接對(duì)該口處,使惡意代碼可以被原始python程序調(diào)用運(yùn)行24。/en/38993//cloaked-ursa-online-storage-services-campaigns//s/K1uBLGqD8kgsIp1yTyYBfwhttps://cluster25.io/2022/05/13/cozy-smuggl/2022/09/23/in-the-footsteps-of-the-fancy-bear-powerpoint-gra/s/qsGxZIiTsuI7o-_XmiHLHg/brute-ratel-c4-tool//darkcasino-apt-evilnum/而獲得強(qiáng)大的終端及網(wǎng)絡(luò)檢測(cè)系統(tǒng)的繞過(guò)能力與反檢測(cè)能力。的免殺功能26;“拉撒路”組織也開(kāi)始使用一種由Go語(yǔ)言開(kāi)發(fā)的其強(qiáng)大的運(yùn)行效率和跨平臺(tái)能力,成為HIVE、ALPHV等黑客運(yùn)行的惡意程序。其他新語(yǔ)言木馬還包括:使用Nim語(yǔ)言編寫擬磁盤映像)文件樣本在VT平臺(tái)實(shí)現(xiàn)了免于被查殺的效果/apt-retrospection-lorec53-an-active-russian-hack-group-launched-phishing-attacks-against-geor/blog/threat-intelligence/2022/04/new-uac-0056-activity-theres-a-ghttps://blogs.jpcert.or.jp/en/2022/07/yamabot.html/s/U9LIfVVP5kHBFFt0LN0Q-A/us/en/pdfviewer?file=/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-old-dogs-new-tric/s/nnLqUBPX8xZ3hCr5u-iSjQ/apt-trends-report-q2-2022/106995/文件”攻擊包括:Kimsuky使用PowerShell執(zhí)行來(lái)自互聯(lián)網(wǎng)的可到寫入文件目的35,該組織還會(huì)通過(guò)SFTP、端口轉(zhuǎn)發(fā)、RDP等方式,利用多憑證實(shí)現(xiàn)多鏈路跳板橫移36。此外,某些情況下受另一方面,CS工具或被逐步替代。長(zhǎng)期以來(lái),后滲透框架一直是各APT組織在橫向移動(dòng)階段最常用的工具之一。然而,組織開(kāi)始探索該工具的替代品。包括“舒適熊”、FIN12、TA551/s/JEQT3Lv1xoAe0nO7SkrgAA/s/XU2QPzp7weLrrrHCh1XM_A/s/jX8D8d-4q46pKHS0AIVgjw/resources/blog/apt29-windows-credential-roaming/blog/observations-from-the-stellarparticle-campaign//en_us/research/22/a/investigating-apt36-or-earth-karkadda植入定制化木馬程序的方式,使用獨(dú)立的SliverC2服務(wù)器控制的具有較高流程構(gòu)建能力的APT組織開(kāi)始探索將IoT設(shè)備作為跳板的新型攻擊流程。攻擊者首先通過(guò)名為“雙頭龍”和Buni的IoT木馬程序控制大量IoT設(shè)備,再通過(guò)這些IoT設(shè)備進(jìn)行流量轉(zhuǎn)發(fā),使其成為木馬程序與真實(shí)C2之間的跳板節(jié)點(diǎn)40,被利用年使用了一種將OneDrive作為跳板的KimAPosT木馬程序,能夠通過(guò)讀取指定OneDrive鏈接中的內(nèi)容,決定后續(xù)攻擊方式或/en-us/security/blog/2022/08/24/looking-for-the-sliver-lininerging-command-and-control-/brute-ratel-c4-tool//research/notice&report/research_report/20221202.html者使用的一種名為Graphite的木馬程序可以與指定號(hào)連接,接收該賬號(hào)目錄中的控制指令并返滲出的數(shù)據(jù)。如,DarkPink在其2022年的網(wǎng)絡(luò)攻擊活動(dòng)中廣泛的文件合并為壓縮包,再通過(guò)Telegram接口發(fā)送給攻擊者控制避免在數(shù)據(jù)泄露過(guò)程中遭遇“不可能旅行”(impossibletravel,一種基于通信雙方地理位置判斷異常通信的檢測(cè)技術(shù))類檢測(cè)。務(wù)器中搭建了NordVPN作為出口,從而使竊密工具能夠連接與/apt-kimsuky-3//en-us/about/newsroom/stories/research/prime-ministers-office-compromise/about/press-releases/2022_low-level-implants/blog/dark-pink-apt/信45。通信信道構(gòu)建方面,“舒適熊”曾利用團(tuán)隊(duì)協(xié)作通信服務(wù)Slack46、Dropbox47等作為C2信道;另外,DNS劫持48、DNS克、波蘭等國(guó)家的網(wǎng)絡(luò)竊密行動(dòng)中使用了朝鮮背景ScarCruft組織的慣用竊密木馬“Konni”,但同時(shí)活動(dòng)中使用的IP地址、服務(wù)運(yùn)營(yíng)商、甚至主機(jī)名均與APT28組織存在歷史數(shù)據(jù)關(guān)聯(lián)情況,使得最終的溯源結(jié)論依然成迷50。另外,印巴雙方網(wǎng)絡(luò)戰(zhàn)持續(xù)焦/en-us/security/blog/2022/03/22/dev-0537-criminal-actor-targeons-for-data-exfiltration-and-de.it/news/il-malware-envyscout-apt29-e-stato-veicolato-anche-in-italia//cloaked-ursa-online-storage-services-campaigns//blogs/security-research/lyceum-net-dns-backdoor/threat-intelligence/2022/05/apt34-targets-jordan-gove/blog/stiffbizon-detection-new-attack-campaign-observed/2.利用Web服務(wù)隱藏通過(guò)合法Web服務(wù)進(jìn)行雙向通信,利用Web服務(wù)向受感染的系向通信,通過(guò)Web服務(wù)僅向受感染系統(tǒng)發(fā)送命令,而不接收響應(yīng)。Web服務(wù)通常使用SSL/TLS加密,為攻擊者提供更高級(jí)別確保攻擊武器投向真正目標(biāo)用戶。如,Kimsuky在2022年8月),/2022/02/whats-with-shared-vba-code.html合法憑證濫用是APT攻擊中最常用的技術(shù)手段之一,通常/us/blog/threat-insight/ugg-boots-4-sale-tale-palestinian-al/s/jdMsvLamCD/s/cW2Evf6Nqb3fhQ7ntnKHsA/s/2RluW4O56UWiNSQB2hQtGA各APT組織不僅追求穩(wěn)定、高效的漏洞利用技術(shù),在漏洞2022年雖與2021年同期披露的APT攻擊利用的零日漏洞的數(shù)量有所減少,但利用數(shù)量仍處于高位。一些攻擊能力較高的組織越來(lái)越多地利用在野漏洞作為初始攻擊媒介。2022年,雖為歷史漏洞,但由于其影響因素及危害程度,仍然是APT組/news/security/hackers-exploit-three-year-old-telerik-flaws-to-APT組織利用的有力工具。2022年上半年曝光的Spring4Shell漏洞依舊是網(wǎng)絡(luò)安全事件的“策源地”,越來(lái)越多的APT組織對(duì)年初檢測(cè)到“迷人小貓”組織正在利用Log4j漏洞進(jìn)行攻擊并在水”使用SysAid應(yīng)用程序中的Log4j2漏洞攻擊以色列組織58。/2022/apt35-exploits-log4j-vulnerability-to-distribute-new-modular/news/muddywater-targets-log4j-sysaid/四、2022年重點(diǎn)組織概覽擴(kuò)大攻擊面,升級(jí)技術(shù)手段,形成不容忽視的件,以此對(duì)抗安全探測(cè),增加攻擊活動(dòng)溯源難“海蓮花”61社會(huì)工程學(xué)技巧嫻熟,常用魚(yú)叉攻擊水坑攻擊,擊的APT組織,活動(dòng)可追溯到2007年。分析來(lái)自360高級(jí)威脅研究院相關(guān)重要領(lǐng)域展開(kāi)有組織、有計(jì)劃、不間斷的網(wǎng)絡(luò)攻擊,后擴(kuò)展至柬埔寨、泰國(guó)、老撾、歐CobaltStrikeBeacon的載荷,以此做到免殺62。二是注重同安全特馬作為流量隱藏和跳板長(zhǎng)期控制IoT設(shè)備63。是更新攻擊加密貨幣與區(qū)塊鏈相關(guān)領(lǐng)域的技術(shù),采用MSI文件力,在其使用的網(wǎng)絡(luò)間諜工具框架META中不斷更新供應(yīng)鏈攻“迷人小貓”66以政治動(dòng)機(jī)和社會(huì)工程學(xué)攻擊而著稱,經(jīng)常將分析來(lái)自知道創(chuàng)宇A(yù)PT威脅情報(bào)團(tuán)隊(duì)分析來(lái)自微步在線APT威脅情報(bào)團(tuán)隊(duì)/apt-trends-report-q2-2022/106995/活動(dòng)可追溯至2012年,攻擊目標(biāo)聚焦于伊朗專家、人權(quán)活動(dòng)人士和媒體人員。網(wǎng)絡(luò)釣魚(yú)用作攻擊媒介。2022年,該組織使用啟用宏的模板文虎和微軟Outlook收件箱67。該組織還被捕獲心理學(xué)原理,將其社會(huì)工程提升到一個(gè)新的水平68?!奥`花”69擅長(zhǎng)利用魚(yú)叉郵件以及系統(tǒng)漏洞網(wǎng)絡(luò)間諜行動(dòng)中分發(fā)安卓間諜軟件Dracarys71。三是增加惡意負(fù)2022年活動(dòng)中的CHM樣本可將同目錄下的PE文件進(jìn)行自復(fù)制實(shí)現(xiàn)持久化并且偽裝成系統(tǒng)文件72,更具隱https://therecord.media/google-says-iranian-group-using-tool-to-download-gmail-yahoo-outlook/us/blog/threat-insight/ta453-uses-multi-persona-impersonation-capita/2022/05/bitter-apt-adds-bangladesh-to-their.html/2022/08/09/bitter-apt-group-using-dracarys-android-spyware//dy/article/GTD4AUVO0538B1YX.html會(huì)成為新的受控者。二是Infectedloader木馬,該木馬利用微軟的APT組織。三是Ragnatela木馬,“摩訶草”建立了Ragnatela7.“舒適熊”攜新隱藏工具“回歸”“舒適熊”75擁有出色的滲透能力,在2022年被發(fā)現(xiàn)76在其攻的合法DLL替換為惡意版本,以操縱用戶身份驗(yàn)證證書并修改來(lái)自知道創(chuàng)宇A(yù)PT威脅情報(bào)團(tuán)隊(duì)成員國(guó)的政府部門,常用工具包括各種Windows平/security/blog/2022/08/24/magicweb-nobeliums-post-compromise-trick-tKimsuky77擁有功能完善的惡意代碼武器庫(kù),慣用社會(huì)工程“響尾蛇”79慣常采用魚(yú)叉攻擊的方式,2022年主要在免殺手組織構(gòu)建的釣魚(yú)網(wǎng)站中會(huì)根據(jù)IP篩選目標(biāo)群體,針對(duì)非目標(biāo)群“污水”80慣常采用魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)、已知漏洞利用以及多種/kimsukys-golddragon-cluster-and-its-c2-operations/107258/最早于2012年披露,主要針對(duì)巴基斯坦、中國(guó)及其他東南亞國(guó)家的政府、軍事目標(biāo)。Powerstats的變種以及新家族SmallSieve。2022年,“污水”在TTPs上的新動(dòng)向主要是利用“金絲雀令牌”81跟蹤目標(biāo)是否成功“金剛象”(VajraEleph)82是2021年開(kāi)始活動(dòng)的具有印度背 景的APT組織,最初主要以巴基斯坦軍方人員為目標(biāo)開(kāi)展有組并優(yōu)化攻擊武器83?!敖饎傁蟆惫艋顒?dòng)的顯著特點(diǎn)是主要針對(duì)安 Polonium是2022年6月由微軟首次公開(kāi)披露84的APT組織。金絲雀令牌是honey令牌的一個(gè)子集,當(dāng)使用時(shí),會(huì)觸發(fā)假永遠(yuǎn)不會(huì)被合法的工作人員使用,因此任何使用金絲雀令牌訪問(wèn)資源的嘗/s/xKKr5UV26npohwvyv79U0w/s/103MfZHdQ9lWlM6rSLfqcA/en-us/security/blog/2022/06/02/exposing-polonium-activite-targeting-israeli-orga2022年期間入侵了20余家以色列組織。Polonium在攻擊活動(dòng)中OneDrive賬戶和Dropbox賬戶,分別利用其提供的云計(jì)算資源和云存儲(chǔ)資源,對(duì)受害者執(zhí)行命令和控制,并2022年4月,IBM發(fā)布報(bào)告稱,在東歐發(fā)現(xiàn)了一系列新的網(wǎng)絡(luò)釣魚(yú)活動(dòng),傳播部署“無(wú)文件”惡意軟件DarkWatchMan。用域生成算法(DGA)來(lái)識(shí)別C2基礎(chǔ)設(shè)施,并用于“無(wú)文件”持新方法。IBM將實(shí)施該網(wǎng)絡(luò)攻擊活動(dòng)的組織命名為Hive0117,“穆倫鯊”是一個(gè)活躍于中東地區(qū)的新型威脅/posts/hive00117-fileless-malware-delivery-eastern-europe/5.Agrius利用VPN服務(wù)進(jìn)行匿名化Agrius組織是2021年5月披露的新組織86,主要利用ProtonVPN匿名訪問(wèn)受害者的系統(tǒng)并部署WebShell,使用的WebShell大多是開(kāi)源惡意軟件ASPXSpy變體。這些WebShell Metador旨在繞過(guò)本地安全解決方案,同時(shí)將MetaMain和/from-wiper-to-ransomware-the-evolution-of-agrius//labs/the-mystery-of-metador-an-unattributed-threat-hiding-in-telcos/labs/deepwatch-ati-detects-and-responds-to-never-before-discovered-backdoor-deployed-using-confluence-vulnerability-for-suspected-境,隨后會(huì)在受害者的服務(wù)器上部署新的永久化后門Ljl。它能實(shí)現(xiàn)收集文件和用戶帳戶、加載任意.NET有效負(fù)載、收集系統(tǒng)月新披露的一個(gè)活躍長(zhǎng)達(dá)的十年的威脅組織89。該組織主要針對(duì)其近十年來(lái)一直逃避偵查,用過(guò)時(shí)的鍵盤記錄器和現(xiàn)成的RATDangerousSavanna90是近兩年新出現(xiàn)的針對(duì)非洲法語(yǔ)區(qū)金融機(jī)構(gòu)的APT組織。攻擊者主要使用魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)作為初始感/labs/modifiedelephant-apt-and-a-decade-of-fabricating-evidence//dangerous-savanna-campaign-attacked-african-financial-institutions/染手段,使用Gmail和Hotmail服務(wù)向至少五個(gè)不同法語(yǔ)國(guó)家的DangerousSavanna在受感染的環(huán)境中安裝自有工具,工具基于外,攻擊者善于使用PDF文件引誘用戶下載并手動(dòng)執(zhí)行),露91,其目標(biāo)是中東地區(qū)的石油和天然氣公司。Lyceum曾使用/blogs/security-research/lyceum-net-dns-backdoor五、趨勢(shì)研判俄烏沖突中,多個(gè)國(guó)家級(jí)APT組織在網(wǎng)絡(luò)空間層面扮演了2.上升為政治“籌碼”對(duì)APT攻擊的歸因、調(diào)查、披露等行為的政治意味日益突將更為明顯。未來(lái)針對(duì)關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)的APT攻在長(zhǎng)期地緣沖突中,APT組織之間、APT組織與安全企業(yè)近年來(lái),隨著攻擊量不斷增長(zhǎng),部分APT組織吸收融合其需求。如,活動(dòng)于南亞地區(qū)的Sidecopy組織主要是為對(duì)抗來(lái)自印度的“響尾蛇”(Sidewinder)組織而成立疑似針對(duì)印度國(guó)防部開(kāi)展攻擊,樣本攻擊流程仍然以模仿“響尾共享基礎(chǔ)設(shè)施、惡意軟件編碼、武器庫(kù)在APT組織中日益溯源,還直接參與到APT攻擊的攻防對(duì)抗。如,微軟禁用用于監(jiān)視、網(wǎng)絡(luò)釣魚(yú)和電子郵件收集的帳戶以破壞俄羅斯黑客組織參與到現(xiàn)實(shí)軍事沖突以及APT組織之間的沖突,其自身也正在成為APT組織攻擊的新目標(biāo),APT組織以攻擊網(wǎng)絡(luò)安全企業(yè)作通過(guò)入侵軟件供應(yīng)商并污染上游軟件代
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 提高倉(cāng)庫(kù)數(shù)據(jù)準(zhǔn)確性的措施計(jì)劃
- 促進(jìn)部門間的協(xié)作與配合計(jì)劃
- 生活技能培養(yǎng)與經(jīng)驗(yàn)分享計(jì)劃
- 財(cái)務(wù)投資決策支持的工作思路計(jì)劃
- 倉(cāng)庫(kù)貨物包裝與標(biāo)識(shí)規(guī)定計(jì)劃
- 主管工作總結(jié)的工作重點(diǎn)計(jì)劃
- 小微企業(yè)的品牌發(fā)展契機(jī)計(jì)劃
- 批判性思維在幼兒教育中的引導(dǎo)計(jì)劃
- 關(guān)鍵崗位繼任計(jì)劃
- 六年級(jí)下冊(cè)數(shù)學(xué)教案-1.3圓柱的體積(一)∣北師大版
- 2025年道路運(yùn)輸企業(yè)主要負(fù)責(zé)人安全考試練習(xí)題(100題)含答案
- 2025屆福建省莆田高中畢業(yè)班第二次質(zhì)量檢測(cè)英語(yǔ)試題(原卷版+解析版)
- 2025春蘇少版(2024)美術(shù)小學(xué)一年級(jí)下冊(cè)第二單元《有趣的肌理》教學(xué)設(shè)計(jì)
- 2025年安徽財(cái)貿(mào)職業(yè)學(xué)院?jiǎn)握新殬I(yè)技能考試題庫(kù)及完整答案一套
- 2025年安徽中醫(yī)藥高等??茖W(xué)校單招職業(yè)適應(yīng)性測(cè)試題庫(kù)有答案
- 北京大學(xué)DeepSeek系列-DeepSeek與AIGC應(yīng)用
- 2025年皖北衛(wèi)生職業(yè)學(xué)院?jiǎn)握新殬I(yè)適應(yīng)性測(cè)試題庫(kù)必考題
- 2025年無(wú)錫職業(yè)技術(shù)學(xué)院?jiǎn)握新殬I(yè)傾向性測(cè)試題庫(kù)完整版
- 電梯日管控、周排查、月調(diào)度內(nèi)容表格
- (2024年)中華人民共和國(guó)環(huán)境保護(hù)法全
- 切格瓦拉完整
評(píng)論
0/150
提交評(píng)論