近日,綠盟科技聯(lián)合廣州大學網(wǎng)絡空間先進技術研究院聯(lián)合發(fā)布2021年《APT組織情報研究年鑒》,該年鑒借助網(wǎng)絡空間威脅建模知識圖譜和大數(shù)據(jù)復合語義追蹤技術,對全球372個APT組織知識進行了知識圖譜歸因建檔,形成APT組織檔案館,并對APT組織活動進行大數(shù)據(jù)追蹤,從而對2021年度新增和活躍的攻擊組織的攻擊活動態(tài)勢進行分析。目前該年鑒所涉及的相關情報和技術已經(jīng)應用在綠盟科技的威脅情報平臺(NTIP)和UTS、IDS、IPS等多個產(chǎn)品中,并支撐網(wǎng)絡安全檢查以及重大活動保障等活動,取得了非常不錯的成績。

本文為《APT組織情報研究年鑒》精華解讀系列文章之一,本篇主要介紹年鑒中提到的綠盟科技2021年基于爬蟲框架和知識圖譜自然語言處理技術,從全球100多個開源情報源新采集到的APT組織(新增APT組織)和被監(jiān)測到有活躍跡象的APT組織的總體態(tài)勢情況,以及在年鑒中呈現(xiàn)的APT組織信息情況。

一.  宏觀態(tài)勢

基于綠盟科技云端服務2020年9月至2021年9月數(shù)據(jù),從情報新增以及活躍監(jiān)控發(fā)現(xiàn)的120個APT組織,可以總結(jié)出整個APT宏觀態(tài)勢具有如下特征:

? 亞洲是APT組織重點關注的區(qū)域,共22個國家遭受超過54次APT組織發(fā)起的攻擊活動。其中中國(包括中國臺灣和中國香港)就遭受12個組織的攻擊,并且集中于政府、國防領域,從總體上看APT組織主要的意圖仍以間諜活動、敏感信息竊取為主。

? APT攻擊的偽裝技術的發(fā)展導致APT歸因的復雜性增大,從而使得對APT組織的歸因結(jié)果并不準確;已發(fā)布的APT報告顯示,歸因于我國的APT組織數(shù)量逐年增高,2021年新增的63個APT組織中有9個被國外研究機構歸因于我國,有4個歸因于俄羅斯,但是同期,歸因為美國的組織卻只有1個。隨著偽裝技術的發(fā)展(比如ATT&CK戰(zhàn)術(tactic)中TA0005就是“防御規(guī)避”,技術(technique)中T1036就叫做“偽裝”),越來越多的偽裝嫁禍使得難以從技術角度進行APT的歸因。被偽裝嫁禍的典型是朝鮮Lazarus Group,2021年一共披露了70份相關報告,新增IOC(IP:12,域名:324,郵箱:10,鏈接:410,哈希:1129,漏洞:5)數(shù)量遠超正常。從應急和分析結(jié)果來看,攻擊我國的APT組織經(jīng)常偽裝模仿APT32海蓮花的戰(zhàn)術戰(zhàn)法。從這個方面也說明我們需要加強傳統(tǒng)上攻擊目標不是中國的APT組織的防護并提升歸因相關研究的國際影響力。

? 供應鏈攻擊開始成為APT組織的常用攻擊手段,由于大部分的企業(yè)沒有對供應鏈攻擊做好充足的準備,導致類似案例均造成比較大的影響。如SolarWinds供應鏈攻擊事件中根據(jù)官方提供的客戶清單,影響超過98個企業(yè),波及政府、咨詢、技術、電信石油和天然氣等行業(yè);另一起針對BigNox的NoxPlayer模擬器供應鏈攻擊更是影響全球超過1.5億的用戶。

? 以經(jīng)濟利益為主要攻擊意圖的APT組織占比逐漸提高,新發(fā)現(xiàn)的63個組織中有14個以此為活動目標,主要的表現(xiàn)形式為勒索、挖礦,比較新型的獲益形式則是出售受害目標單位的訪問權限,如UNC1945組織和TA547組織,這類組織在獲取受害單位權限前后表現(xiàn)出截然不同的攻擊技術手段以及攻擊意圖的差別。

? 惡意軟件即服務(MaaS)在APT組織中逐漸流行,除了降低APT組織攻擊成本之外還加大了攻擊者歸因的難度。以TA系列組織為例包括:TA569、TA800、TA577、TA551、TA570等,在初始階段使用Trick、Dridex、Qbot、IcedID、ZLoader、Ursnif等惡意軟件感染盡可能多的受害單位,第二階段才分發(fā)WastedLocker、Ryuk、Egregor、Maze、Sodinokibi、ProLock等勒索軟件實現(xiàn)其攻擊意圖。

二.  新增APT組織

基于聚合的博客、公眾號等180個情報源,2020年10月至2021年9月期間,綠盟科技新增采集APT組織63個,從309個增長至372個,數(shù)量增長了約20%,平均每個月新增APT組織約5個,如下圖所示:

APT組織情報新增趨勢

從APT組織地理歸屬上看,41個(約占65%)APT組織未能進行有效的國家歸因,歸因于中國和俄羅斯的APT組織最多,分別為9個和4個,需注意的是,目前APT組織的國家歸因復雜性非常高,部分報告披露的歸因證據(jù)其實并不充分,存在誤判和嫁禍的可能性。APT地理組織分布如下圖所示

APT組織地理分布

可歸因至確切國家的APT組織共22個,且主要分布在亞洲(共15個,占68%),其次分布在歐洲和非洲,分別為6個和1個。

APT組織地理分布(去除未知)

三.  活躍APT組織

基于綠盟科技云端上下文感知計算的APT組織追蹤技術,2020年10月至2021年9月期間,共監(jiān)測發(fā)現(xiàn)57個APT組織的活躍線索,平均每個月活躍組織約19個。其中從2020年12月至2021年2月這三個月期間APT組織極為活躍,三個月平均活躍組織將近30個。

APT組織活躍態(tài)勢

監(jiān)測的57個APT組織中,最為活躍的10個組織分別為:TA505、Lazarus Group、MUMMY SPIDER、Viceroy Tiger、APT37、Sofacy、Mirage、OrangeWorm、TeamSpy Crew、Kimsuky,活躍月份均超過六個月。其中TA505和Lazarus Group在過去一年每個月均發(fā)現(xiàn)活躍線索,其次是MUMMY SPIDER和Viceroy Tiger,僅一個月沒有監(jiān)測到其攻擊活動。

APT組織活躍月份數(shù)

四.  APT組織圖鑒介紹

在年鑒中,我們將2021年新增采集到的63個APT組織和活躍的56個APT組織按照綠盟科技構建的APT組織檔案館結(jié)構進行了統(tǒng)計性的呈現(xiàn),以APT32(海蓮花)為例:

在表格右上方是按照鉆石模型對APT組織進行各個維度的統(tǒng)計信息呈現(xiàn),表格最下方這是呈現(xiàn)該APT組織在綠盟科技云端APT知識圖譜中進行圖可視化的情況,展現(xiàn)了該組織關聯(lián)的各類威脅知識的情況。圖鑒中所有APT組織均按照上表格式進行呈現(xiàn),表格主體部分主要描述了APT組織名字、別名;歷史上攻擊的目標國家、行業(yè);APT組織首次發(fā)現(xiàn)時間、最近活躍時間;動機和描述信息。

詳細的分析內(nèi)容和攻擊組織信息可以直接參考完整的《APT組織情報研究年鑒》

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據(jù)。

關鍵詞：