冬奥临近 专家提醒警惕APT组织实施网络攻击
2022-01-19 15:11
来源: 深圳新闻网
人工智能朗读:

冬奥临近 专家提醒警惕APT组织实施网络攻击

读特客户端•深圳新闻网2021年1月19日讯(记者 王志明)近年来,境外各类政府背景APT黑客组织对事关我国的政治、经济、军事、科技情报虎视眈眈,针对我国重要单位及关键基础设施的APT攻击趋势越演越烈。全球瞩目的北京冬奥会即将开幕,知道创宇NDR团队专家提醒,要警惕APT组织实施网络攻击。

知道创宇NDR团队介绍,APT攻击也愈加呈现出复杂度高、对抗性强、隐蔽性强等特点,通常有着窃取政府单位的国家机密、重要企业的科技信息、破坏网络基础设施等强烈的政治与经济目的。网络空间安全的格局虽不断变化,但隐藏在迷雾背后的,往往是国家间的博弈与较量。

中国国家行政单位是APT组织攻击的最大目标

为了掌握APT对我国的攻击情况和其全球的活动情况、并快速高效地应对APT攻击,知道创宇 NDR团队长期跟踪对中国发起 APT攻击的活跃组织共计30个,其中包括OceanLotus(apt32)、Bitter(蔓灵花)、Patchwork(魔科草)、DarkHotel(黑店)等等。

2021年,知道创宇NDR团队将注意力集中在我国周边APT组织上,对来自于东亚、东南亚、东北亚、南亚、西亚、东欧、中东的APT组织进行长期深入的持续性跟踪,得出如下监测数据。

21个活跃APT组织对中国的重点攻击情况:政府单位是第一目标

下图:对部分APT组织的攻击活动进行监控和追踪分析。

OceanLotus海莲花,东南亚“最知名刺客”

OceanLotus(海莲花)是一个长期针对中国及周边东南亚国家(地区)发起APT攻击的东南亚黑客组织,由于其多年来对我国党政机关、国防军工、科研院所等核心要害单位发起攻击,近两年攻击范围甚至延伸到了关键信息基础设施、能源、军民融合等各个领域,因此NDR团队重点关注OceanLotus的攻击活动。根据NDR2021年监控到的OceanLotus发起的APT攻击事件解析发现,该组织2021年重点攻击目标为关基设施、政府单位,同时也会攻击一些防护较弱的目标作为攻击跳板使用。

攻击活动频繁的Oceanlotus组织在2021年逐步放弃了钓鱼邮件的攻击方式,开始使用漏洞攻击、供应链攻击等方式作为第一步攻击,成功后再通过植入远控木马等待发起下一步行为。这种攻击方式与之前相比有明显区别,其攻击技术含量明显提高。通过分析OceanLotus在2021年进行的攻击活动,NDR团队发现其会重点对vSphere Web客户端、MikroTik、OA系统、D-LINK、三星路由器、F5防火墙等设备或系统进行渗透攻击,攻击成功后将其作为代理C&C服务器,2021年监测到涉及C&C和相关代理共计400+。

部分活跃C&C

Bitter蔓灵花,游荡于多国的“幽灵魅影”

蔓灵花(T-APT-17、BITTER)APT组织是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织,该APT组织为目前活跃的针对中国境内目标进行攻击的境外APT组织之一。该组织主要针对政府、军工、能源等单位进行攻击以窃取敏感资料,具有强烈的政治背景。Bitter组织多年来主要采用鱼叉钓鱼的方式,以对相关目标单位的个人直接发送嵌入了攻击诱饵的钓鱼邮件的形式发起攻击。此外,为了提高成功率,Bitter组织也会先对目标发送安全提示相关的钓鱼邮件,诱使被钓鱼用户修改邮件账户密码,从而获取用户的邮箱密码,而后再用被控制的邮箱继续对企业内的其他人发送嵌入攻击诱饵的钓鱼邮件。NDR团队在2021年捕获Bitter组织相关钓鱼攻击200+次,说明Bitter在2021年“一如既往”以钓鱼攻击作为主要攻击方式,值得一提的是,NDR团队在年初发现,Bitter往往使用Windows内核漏洞以提高其攻击成功率。与此同时,根据NDR团队今年监控到的APT事件及其他技术手段对该组织的行动监控后发现,Bitter组织在2021年依旧保持其常态化热点攻击的特点,其目标行业主要聚集在航空航天、军工、超大型企业、国家政务、部分高校。

2021年APT攻击有哪些重要特点?

通过对数十个APT组织在2021年进行全年监测、持续跟踪和研究分析,NDR安全分析团队得出如下结论:

·技术水平较高的APT组织逐步采用更多高级攻击手段,如供应链攻击、多层跳板、IOT设备作为跳板等,使攻击监测难度升级;

·越来越多的APT攻击使用通用攻击框架,使攻击事件定性难度升级;

·传统社工钓鱼方式在各APT组织中均出现过,主要原因是社工钓鱼的攻击方式成本低且灵活性高;

·2021年各组织其储备工具、攻击链的丰富性升级,可以有效躲避攻击检查、增加攻击潜伏时间。

NDR团队预测,2022年APT攻击会更多的用到如IOT设备做为多级跳板、供应链攻击、通用工具等方法来应对传统的监测手段。

知道创宇NDR流量监测可提供强大的APT监测服务

知道创宇NDR流量监测系统是知道创宇同一线作战人员一起实战打造,针对活跃APT组织的流量检测分析产品,与创宇安全智脑、创宇云防御创宇盾联动,通过对流量进行智能分析,精准高效的发现敌人对我国关键基础设施的APT攻击。

网络空间已成为国家继陆、海、空、天四个疆域之后的第五疆域已是不争的事实,而“和平与发展”是任何领域内,全人类共同的目标和愿望。知道创宇在网络安全技术及APT发现、检测能力上的不懈努力,同样是希望可以在技术能力上缩小差距,让我们每个个体,包括企业和组织都有能力发现威胁、防御威胁,捍卫自身安全。每个个体的安全和自身抵御攻击的能力才是构建赛博空间安全稳定和平的基础。

知道创宇作为一家致力于成为中国值得信赖的网络安全公司,将时刻秉承“不忘初心,为国为民”的使命和初衷,驱动自身技术与产品优势,应对未来新安全挑战,为产业数字化创新赋能。不负时代重托与厚望,为维护国家网络空间安全、建设网络强国贡献力量

[编辑:董非]