近日���,綠盟科技伏影實驗室聯(lián)合CNCERT網(wǎng)絡(luò)安全應(yīng)急技術(shù)國家工程研究中心發(fā)布《2021年度高級威脅研究報告》(以下簡稱《報告》)���!秷蟾妗凡粌H總結(jié)了APT攻擊技術(shù)發(fā)展和重點攻擊目標,還分別針對伏影實驗室披露的國內(nèi)外APT攻擊活動進行了詳細分析����,總結(jié)了本年度APT攻擊活動的特征,并根據(jù)分析結(jié)果提出了預(yù)測和防范建議�。
APT攻擊防范要當心“定制化的釣魚郵件”
各國家級APT組織的攻擊活動主要圍繞定制化的釣魚郵件展開,最終通過其中的各類惡意附件文件達成攻擊目的�����。被廣泛使用的惡意附件類型包括文檔���、快捷方式文件��、html文件等���。
釣魚文檔誘餌攻擊類型
經(jīng)過多年發(fā)展,釣魚文檔相關(guān)技術(shù)已經(jīng)成熟����,惡意宏、漏洞利用��、機制濫用等三類常見攻擊實現(xiàn)途徑���。
為了完善上述主流的攻擊方式以及擴展自身攻擊能力�����,2021年���,APT組織引入并落地了多種新型攻擊技術(shù)�����,包括新型0day漏洞����、新型社會工程學手法���、新型特征隱藏手法等��。
新型0day漏洞
2021年初��,Lazarus組織在一次攻擊活動中使用了編號為CVE-2021-26411的IE 0day漏洞���。在相關(guān)攻擊流程中,CVE-2021-26411漏洞解決了shellcode執(zhí)行���、提權(quán)�、進程駐留等多個方面的問題,使攻擊具備很強的破壞性��。情報顯示�����,該漏洞在被披露后受到了廣泛關(guān)注���,并被融合至在野利用甚至其他新型APT組織的攻擊活動當中。
新型社會工程學手法
一種基于新媒體運營的目標篩選與釣魚手法被Lazarus組織推廣使用��,并被Charming Kitten等其他APT組織借鑒�。Lazarus組織攻擊者制作了多個偽造的安全研究者社交賬號并進行持續(xù)運營,通過發(fā)布所謂的漏洞研究信息吸引關(guān)注����。隨后,通過一對一的社交互動引誘這些目標接收帶毒文件并運行�,實現(xiàn)精準的定向竊密攻擊。
新型特征隱藏手法
一種結(jié)合類DGA域名與DNS tunneling的流量隱藏技術(shù)����,給UNC2452組織的SunBurst木馬提供了完美的反探測能力。這種基于DNS信道的特殊的通信手法成功繞過了所有受害者的檢測防護機制��,幫助UNC2452攻擊者實現(xiàn)了長達9個月的供應(yīng)鏈攻擊活動。
政府部門���、衛(wèi)生防疫機構(gòu)成為APT重點攻擊目標
目前�����,國家級APT組織整體上依然以地緣政治上的敵對勢力作為主要攻擊目標���,并重點滲透在當前時段內(nèi)能夠?qū)^(qū)域形勢產(chǎn)生巨大影響的機構(gòu)和設(shè)施,這些重點目標包括政府部門��、衛(wèi)生防疫機構(gòu)和法務(wù)部門等�����。
此外�,為滿足不斷增長的攻擊能力需求,APT組織開始攻擊安全研究人員�����,試圖獲取0day漏洞和滲透工具等�,豐富自己的攻擊手段。
京公網(wǎng)安備 11010502041587號