2月1日,奇安信威胁情报中心发布《全球高级持续性威胁(APT)2023年度报告》(简称《报告》)。《报告》基于奇安信威胁雷达监测数据,同时结合全网开源APT情报,对全球范围内APT攻击进行了全面剖析。《报告》显示,在2023年全球至少有80个国家遭遇过APT攻击,其中绝大部分受害者集中在中国以及东亚、东南亚、南亚等中国周边地区。由于APT组织的背后往往有着国家政治背景甚至国家力量直接参与,这表明中国及周边地区已经成为网络空间战争的焦点。
《报告》显示,2023年受到APT攻击的国家主要包括韩国、印度、巴基斯坦、中国、俄罗斯、日本、美国、乌克兰等国。可以看出,中国以及周边国家成为APT攻击的主要目标,另外,受地缘冲突影响,俄乌地区、巴以地区,都是APT攻击的重点地区。
就中国境内而言,东南沿海地区是受害重灾区。根据奇安信威胁雷达的监测数据,沿海省份广东、江苏、上海、浙江等地是境外APT组织攻击的主要目标地区,其次是北京、四川、安徽等地。
进一步通过奇安信威胁雷达的遥测感知和奇安信红雨滴团队基于客户现场的APT攻击线索,并结合使用了奇安信威胁情报的全线产品告警数据进行分析:2023年涉及我国政府机构、科研教育、信息技术、金融商贸、能源行业的高级威胁事件占主要部分,占比分别为:20.4%,18.4%,17.3%,12.2%,10.2%。其次为国防军事、新闻媒体、医疗卫生等领域。能够看出,受攻击较为严重的区域,上述相关行业也相对较为发达。其中政府行业历来都受到APT组织的重点关注,另受贸易战、科技打压等多方面因素影响,科研教育、信息技术等领域受到攻击的频率正持续升高。
奇安信威胁情报中心通过梳理奇安信红雨滴团队和奇安信安服在客户现场处置排查的真实APT攻击事件,结合使用威胁情报的全线余个APT组织频繁针对国内重点目标。
进一步对这些APT组织的C2服务器及其控制的境内IP地址数据分析发现,毒云藤、海莲花、APT-Q-15、BerBeroka几个组织使用大量C2针对境内目标进行攻击,表明其拥有庞大的基础设施;Winnti、Lazarus、APT-Q-12、APT-Q-78等组织仅使用少量C2就控制了境内相当数量的IP地址,可见其拥有较高水平的攻击技术。
另外,FaceduckGroup是今年首次发现针对国内的攻击团伙;APT-Q-77开始将目标转向芯片领域;APT-Q-15是自2022年开始持续跟踪的新组织,主要攻击朝鲜和中国大陆。
从攻击手法来看,有的组织继续沿用以往的攻击模式,而有的组织攻击手法特点则呈现出一定的变化,但总体来看,鱼叉邮件仍是主要的初始入侵手段,个别APT组织还会通过社工、Web层面的0day/Nday漏洞作为攻击入口。
在0day漏洞使用方面,2023年奇安信威胁情报中心关注到重点在野0day漏洞共59个。在野0day的利用数量相较2022年有所上升,趋势上逼近作为历年峰值的2021年(详情可参考《全网漏洞态势研究2023年度报告》)。微软、谷歌、苹果三家的产品漏洞依然占主要部分,而与往年有所不同的是,苹果产品的漏洞在数量上稳压了微软、谷歌一头。近日,国外研究机构揭示了一起名为“三角测量行动”的针对苹果设备的APT攻击行为,该攻击利用了四个0day,号称iPhone史上最复杂的攻击链。
需要注意的是,国产软件漏洞正在被越来越多的境外APT组织用于攻击境内目标。其中包括利用WPS 0day实施的攻击活动,攻击者制作的恶意文档带有对WPS漏洞的利用,文档打开后可以直接导致远程代码执行。奇安信威胁情报中心第一时间将攻击POC代码提交金山,并获得相关致谢。
另据《全网漏洞态势研究2023年度报告》显示,2023年新增的28975个漏洞中,有715个漏洞未被国外漏洞库收录,为国产软件漏洞。由于国产软件的绝大部分仅供中国用户使用,因此这些漏洞极易被境外APT组织用于定向攻击境内目标。奇安信威胁情报中心认为,随着大批量国产化软件普及,针对国产软件的攻击及相关0day漏洞不断涌现,确保这些软件的安全性势在必行。
对于2024年APT活动趋势,奇安信威胁情报中心给出如下五点判断:第一,全球局势动荡催生更加频繁的APT攻击活动;第二,移动端将继续受到攻击者关注;第三,软件供应链仍是常用攻击途径;第四,人工智能技术被攻击者滥用;第五,网络威胁呈现更复杂的生态。
面对愈演愈烈的APT攻击,奇安信威胁中心建议首先要树立良好的网络安全意识,不接收未知来源的邮件,不下载安全性未知的软件,不访问可疑的网站,不使用简单密码并定期更换等;
其次,建立健全系统安全机制,梳理IT资产,收敛资产暴露面,从而增强系统本身的安全强度;
第三,建设内生安全的纵深防御体系和全网无死角态势感知能力,结合威胁情报和大数据关联分析,确保及时发现攻击行为;
第四,定期开展渗透测试、实战攻防演习等,及时找出安全防御的薄弱环节,并在实战中不断提升攻防对抗能力;
第五,一旦发现APT攻击事件,应当及时准确上报,不瞒报不漏报,联合监管机构、安全厂商以及社会各界力量,将影响控制在最低。
2月1日,奇安信威胁情报中心发布《全球高级持续性威胁(APT)2023年度报告》。