本文為《APT組織情報(bào)研究年鑒》精華解讀系列文章之一,本篇主要介紹年鑒中提到的綠盟科技2021年基于爬蟲(chóng)框架和知識(shí)圖譜自然語(yǔ)言處理技術(shù),從全球100多個(gè)開(kāi)源情報(bào)源新采集到的APT組織(新增APT組織)和被監(jiān)測(cè)到有活躍跡象的APT組織的總體態(tài)勢(shì)情況,以及在年鑒中呈現(xiàn)的APT組織信息情況。

一.  宏觀(guān)態(tài)勢(shì)

基于綠盟科技云端服務(wù)2020年9月至2021年9月數(shù)據(jù),從情報(bào)新增以及活躍監(jiān)控發(fā)現(xiàn)的120個(gè)APT組織,可以總結(jié)出整個(gè)APT宏觀(guān)態(tài)勢(shì)具有如下特征:

? 亞洲是APT組織重點(diǎn)關(guān)注的區(qū)域,共22個(gè)國(guó)家遭受超過(guò)54次APT組織發(fā)起的攻擊活動(dòng)。其中中國(guó)(包括中國(guó)臺(tái)灣和中國(guó)香港)就遭受12個(gè)組織的攻擊,并且集中于政府、國(guó)防領(lǐng)域,從總體上看APT組織主要的意圖仍以間諜活動(dòng)、敏感信息竊取為主。

? APT攻擊的偽裝技術(shù)的發(fā)展導(dǎo)致APT歸因的復(fù)雜性增大,從而使得對(duì)APT組織的歸因結(jié)果并不準(zhǔn)確;已發(fā)布的APT報(bào)告顯示,歸因于我國(guó)的APT組織數(shù)量逐年增高,2021年新增的63個(gè)APT組織中有9個(gè)被國(guó)外研究機(jī)構(gòu)歸因于我國(guó),有4個(gè)歸因于俄羅斯,但是同期,歸因?yàn)槊绹?guó)的組織卻只有1個(gè)。隨著偽裝技術(shù)的發(fā)展(比如ATT&CK戰(zhàn)術(shù)(tactic)中TA0005就是“防御規(guī)避”,技術(shù)(technique)中T1036就叫做“偽裝”),越來(lái)越多的偽裝嫁禍?zhǔn)沟秒y以從技術(shù)角度進(jìn)行APT的歸因。被偽裝嫁禍的典型是朝鮮Lazarus Group,2021年一共披露了70份相關(guān)報(bào)告,新增IOC(IP:12,域名:324,郵箱:10,鏈接:410,哈希:1129,漏洞:5)數(shù)量遠(yuǎn)超正常。從應(yīng)急和分析結(jié)果來(lái)看,攻擊我國(guó)的APT組織經(jīng)常偽裝模仿APT32海蓮花的戰(zhàn)術(shù)戰(zhàn)法。從這個(gè)方面也說(shuō)明我們需要加強(qiáng)傳統(tǒng)上攻擊目標(biāo)不是中國(guó)的APT組織的防護(hù)并提升歸因相關(guān)研究的國(guó)際影響力。

? 供應(yīng)鏈攻擊開(kāi)始成為APT組織的常用攻擊手段,由于大部分的企業(yè)沒(méi)有對(duì)供應(yīng)鏈攻擊做好充足的準(zhǔn)備,導(dǎo)致類(lèi)似案例均造成比較大的影響。如SolarWinds供應(yīng)鏈攻擊事件中根據(jù)官方提供的客戶(hù)清單,影響超過(guò)98個(gè)企業(yè),波及政府、咨詢(xún)、技術(shù)、電信石油和天然氣等行業(yè);另一起針對(duì)BigNox的NoxPlayer模擬器供應(yīng)鏈攻擊更是影響全球超過(guò)1.5億的用戶(hù)。

? 以經(jīng)濟(jì)利益為主要攻擊意圖的APT組織占比逐漸提高,新發(fā)現(xiàn)的63個(gè)組織中有14個(gè)以此為活動(dòng)目標(biāo),主要的表現(xiàn)形式為勒索、挖礦,比較新型的獲益形式則是出售受害目標(biāo)單位的訪(fǎng)問(wèn)權(quán)限,如UNC1945組織和TA547組織,這類(lèi)組織在獲取受害單位權(quán)限前后表現(xiàn)出截然不同的攻擊技術(shù)手段以及攻擊意圖的差別。

? 惡意軟件即服務(wù)(MaaS)在APT組織中逐漸流行,除了降低APT組織攻擊成本之外還加大了攻擊者歸因的難度。以TA系列組織為例包括:TA569、TA800、TA577、TA551、TA570等,在初始階段使用Trick、Dridex、Qbot、IcedID、ZLoader、Ursnif等惡意軟件感染盡可能多的受害單位,第二階段才分發(fā)WastedLocker、Ryuk、Egregor、Maze、Sodinokibi、ProLock等勒索軟件實(shí)現(xiàn)其攻擊意圖。

二.  新增APT組織

基于聚合的博客、公眾號(hào)等180個(gè)情報(bào)源,2020年10月至2021年9月期間,綠盟科技新增采集APT組織63個(gè),從309個(gè)增長(zhǎng)至372個(gè),數(shù)量增長(zhǎng)了約20%,平均每個(gè)月新增APT組織約5個(gè),如下圖所示:

APT組織情報(bào)新增趨勢(shì)

從APT組織地理歸屬上看,41個(gè)(約占65%)APT組織未能進(jìn)行有效的國(guó)家歸因,歸因于中國(guó)和俄羅斯的APT組織最多,分別為9個(gè)和4個(gè),需注意的是,目前APT組織的國(guó)家歸因復(fù)雜性非常高,部分報(bào)告披露的歸因證據(jù)其實(shí)并不充分,存在誤判和嫁禍的可能性。APT地理組織分布如下圖所示

APT組織地理分布

可歸因至確切國(guó)家的APT組織共22個(gè),且主要分布在亞洲(共15個(gè),占68%),其次分布在歐洲和非洲,分別為6個(gè)和1個(gè)。

APT組織地理分布(去除未知)

三.  活躍APT組織

基于綠盟科技云端上下文感知計(jì)算的APT組織追蹤技術(shù),2020年10月至2021年9月期間,共監(jiān)測(cè)發(fā)現(xiàn)57個(gè)APT組織的活躍線(xiàn)索,平均每個(gè)月活躍組織約19個(gè)。其中從2020年12月至2021年2月這三個(gè)月期間APT組織極為活躍,三個(gè)月平均活躍組織將近30個(gè)。

APT組織活躍態(tài)勢(shì)

監(jiān)測(cè)的57個(gè)APT組織中,最為活躍的10個(gè)組織分別為:TA505、Lazarus Group、MUMMY SPIDER、Viceroy Tiger、APT37、Sofacy、Mirage、OrangeWorm、TeamSpy Crew、Kimsuky,活躍月份均超過(guò)六個(gè)月。其中TA505和Lazarus Group在過(guò)去一年每個(gè)月均發(fā)現(xiàn)活躍線(xiàn)索,其次是MUMMY SPIDER和Viceroy Tiger,僅一個(gè)月沒(méi)有監(jiān)測(cè)到其攻擊活動(dòng)。

APT組織活躍月份數(shù)

四.  APT組織圖鑒介紹

在年鑒中,我們將2021年新增采集到的63個(gè)APT組織和活躍的56個(gè)APT組織按照綠盟科技構(gòu)建的APT組織檔案館結(jié)構(gòu)進(jìn)行了統(tǒng)計(jì)性的呈現(xiàn),以APT32(海蓮花)為例:

在表格右上方是按照鉆石模型對(duì)APT組織進(jìn)行各個(gè)維度的統(tǒng)計(jì)信息呈現(xiàn),表格最下方這是呈現(xiàn)該APT組織在綠盟科技云端APT知識(shí)圖譜中進(jìn)行圖可視化的情況,展現(xiàn)了該組織關(guān)聯(lián)的各類(lèi)威脅知識(shí)的情況。圖鑒中所有APT組織均按照上表格式進(jìn)行呈現(xiàn),表格主體部分主要描述了APT組織名字、別名;歷史上攻擊的目標(biāo)國(guó)家、行業(yè);APT組織首次發(fā)現(xiàn)時(shí)間、最近活躍時(shí)間;動(dòng)機(jī)和描述信息。

詳細(xì)的分析內(nèi)容和攻擊組織信息可以直接參考完整的《APT組織情報(bào)研究年鑒》

免責(zé)聲明：市場(chǎng)有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎！此文僅供參考，不作買(mǎi)賣(mài)依據(jù)。