近日,綠盟科技聯(lián)合廣州大學(xué)網(wǎng)絡(luò)空間先進(jìn)技術(shù)研究院聯(lián)合發(fā)布2021年《APT組織情報研究年鑒》,該年鑒借助網(wǎng)絡(luò)空間威脅建模知識圖譜和大數(shù)據(jù)復(fù)合語義追蹤技術(shù),對全球372個APT組織知識進(jìn)行了知識圖譜歸因建檔,形成APT組織檔案館,并對APT組織活動進(jìn)行大數(shù)據(jù)追蹤,從而對2021年度新增和活躍的攻擊組織的攻擊活動態(tài)勢進(jìn)行分析。目前該年鑒所涉及的相關(guān)情報和技術(shù)已經(jīng)應(yīng)用在綠盟科技的威脅情報平臺(NTIP)和UTS、IDS、IPS等多個產(chǎn)品中,并支撐網(wǎng)絡(luò)安全檢查以及重大活動保障等活動,取得了非常不錯的成績。
本文為《APT組織情報研究年鑒》精華解讀系列文章之一,本篇主要介紹年鑒中提到的綠盟科技2021年基于爬蟲框架和知識圖譜自然語言處理技術(shù),從全球100多個開源情報源新采集到的APT組織(新增APT組織)和被監(jiān)測到有活躍跡象的APT組織的總體態(tài)勢情況,以及在年鑒中呈現(xiàn)的APT組織信息情況。
一. 宏觀態(tài)勢
基于綠盟科技云端服務(wù)2020年9月至2021年9月數(shù)據(jù),從情報新增以及活躍監(jiān)控發(fā)現(xiàn)的120個APT組織,可以總結(jié)出整個APT宏觀態(tài)勢具有如下特征:
? 亞洲是APT組織重點關(guān)注的區(qū)域,共22個國家遭受超過54次APT組織發(fā)起的攻擊活動。其中中國(包括中國臺灣和中國香港)就遭受12個組織的攻擊,并且集中于政府、國防領(lǐng)域,從總體上看APT組織主要的意圖仍以間諜活動、敏感信息竊取為主。
? APT攻擊的偽裝技術(shù)的發(fā)展導(dǎo)致APT歸因的復(fù)雜性增大,從而使得對APT組織的歸因結(jié)果并不準(zhǔn)確;已發(fā)布的APT報告顯示,歸因于我國的APT組織數(shù)量逐年增高,2021年新增的63個APT組織中有9個被國外研究機(jī)構(gòu)歸因于我國,有4個歸因于俄羅斯,但是同期,歸因為美國的組織卻只有1個。隨著偽裝技術(shù)的發(fā)展(比如ATT&CK戰(zhàn)術(shù)(tactic)中TA0005就是“防御規(guī)避”,技術(shù)(technique)中T1036就叫做“偽裝”),越來越多的偽裝嫁禍?zhǔn)沟秒y以從技術(shù)角度進(jìn)行APT的歸因。被偽裝嫁禍的典型是朝鮮Lazarus Group,2021年一共披露了70份相關(guān)報告,新增IOC(IP:12,域名:324,郵箱:10,鏈接:410,哈希:1129,漏洞:5)數(shù)量遠(yuǎn)超正常。從應(yīng)急和分析結(jié)果來看,攻擊我國的APT組織經(jīng)常偽裝模仿APT32海蓮花的戰(zhàn)術(shù)戰(zhàn)法。從這個方面也說明我們需要加強(qiáng)傳統(tǒng)上攻擊目標(biāo)不是中國的APT組織的防護(hù)并提升歸因相關(guān)研究的國際影響力。
? 供應(yīng)鏈攻擊開始成為APT組織的常用攻擊手段,由于大部分的企業(yè)沒有對供應(yīng)鏈攻擊做好充足的準(zhǔn)備,導(dǎo)致類似案例均造成比較大的影響。如SolarWinds供應(yīng)鏈攻擊事件中根據(jù)官方提供的客戶清單,影響超過98個企業(yè),波及政府、咨詢、技術(shù)、電信石油和天然氣等行業(yè);另一起針對BigNox的NoxPlayer模擬器供應(yīng)鏈攻擊更是影響全球超過1.5億的用戶。
? 以經(jīng)濟(jì)利益為主要攻擊意圖的APT組織占比逐漸提高,新發(fā)現(xiàn)的63個組織中有14個以此為活動目標(biāo),主要的表現(xiàn)形式為勒索、挖礦,比較新型的獲益形式則是出售受害目標(biāo)單位的訪問權(quán)限,如UNC1945組織和TA547組織,這類組織在獲取受害單位權(quán)限前后表現(xiàn)出截然不同的攻擊技術(shù)手段以及攻擊意圖的差別。
? 惡意軟件即服務(wù)(MaaS)在APT組織中逐漸流行,除了降低APT組織攻擊成本之外還加大了攻擊者歸因的難度。以TA系列組織為例包括:TA569、TA800、TA577、TA551、TA570等,在初始階段使用Trick、Dridex、Qbot、IcedID、ZLoader、Ursnif等惡意軟件感染盡可能多的受害單位,第二階段才分發(fā)WastedLocker、Ryuk、Egregor、Maze、Sodinokibi、ProLock等勒索軟件實現(xiàn)其攻擊意圖。
二. 新增APT組織
基于聚合的博客、公眾號等180個情報源,2020年10月至2021年9月期間,綠盟科技新增采集APT組織63個,從309個增長至372個,數(shù)量增長了約20%,平均每個月新增APT組織約5個,如下圖所示:
APT組織情報新增趨勢
從APT組織地理歸屬上看,41個(約占65%)APT組織未能進(jìn)行有效的國家歸因,歸因于中國和俄羅斯的APT組織最多,分別為9個和4個,需注意的是,目前APT組織的國家歸因復(fù)雜性非常高,部分報告披露的歸因證據(jù)其實并不充分,存在誤判和嫁禍的可能性。APT地理組織分布如下圖所示
APT組織地理分布
可歸因至確切國家的APT組織共22個,且主要分布在亞洲(共15個,占68%),其次分布在歐洲和非洲,分別為6個和1個。
APT組織地理分布(去除未知)
三. 活躍APT組織
基于綠盟科技云端上下文感知計算的APT組織追蹤技術(shù),2020年10月至2021年9月期間,共監(jiān)測發(fā)現(xiàn)57個APT組織的活躍線索,平均每個月活躍組織約19個。其中從2020年12月至2021年2月這三個月期間APT組織極為活躍,三個月平均活躍組織將近30個。
APT組織活躍態(tài)勢
監(jiān)測的57個APT組織中,最為活躍的10個組織分別為:TA505、Lazarus Group、MUMMY SPIDER、Viceroy Tiger、APT37、Sofacy、Mirage、OrangeWorm、TeamSpy Crew、Kimsuky,活躍月份均超過六個月。其中TA505和Lazarus Group在過去一年每個月均發(fā)現(xiàn)活躍線索,其次是MUMMY SPIDER和Viceroy Tiger,僅一個月沒有監(jiān)測到其攻擊活動。
APT組織活躍月份數(shù)
四. APT組織圖鑒介紹
在年鑒中,我們將2021年新增采集到的63個APT組織和活躍的56個APT組織按照綠盟科技構(gòu)建的APT組織檔案館結(jié)構(gòu)進(jìn)行了統(tǒng)計性的呈現(xiàn),以APT32(海蓮花)為例:
在表格右上方是按照鉆石模型對APT組織進(jìn)行各個維度的統(tǒng)計信息呈現(xiàn),表格最下方這是呈現(xiàn)該APT組織在綠盟科技云端APT知識圖譜中進(jìn)行圖可視化的情況,展現(xiàn)了該組織關(guān)聯(lián)的各類威脅知識的情況。圖鑒中所有APT組織均按照上表格式進(jìn)行呈現(xiàn),表格主體部分主要描述了APT組織名字、別名;歷史上攻擊的目標(biāo)國家、行業(yè);APT組織首次發(fā)現(xiàn)時間、最近活躍時間;動機(jī)和描述信息。
詳細(xì)的分析內(nèi)容和攻擊組織信息可以直接參考完整的《APT組織情報研究年鑒》
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!