2023年,奇安信威胁情报中心观察到多个APT组织频繁针对国内目标。有的组织继续沿用以往的攻击模式,而有的组织攻击手法特点则呈现出一定的变化,但总体来看,鱼叉邮件仍是主要的初始入侵手段,个别APT组织还会通过社工、Web层面的Oday/Nday漏洞作为攻击入口。
政府机构、国防军事、科研教育、信息技术是全球高级持续性威胁主要针对的四大行业。此外APT攻击事件发生较多的行业还有金融、通信、新闻媒体、航空航天、医疗卫生、能源。
全球APT活动呈现出五大特点:移动端成为攻击制高点,针对移动平台iOS/Android的Oday攻击逐渐增多;路由、防火墙等传统网络设备成为廉价的C2屏障及攻击向量;网络军火商活跃出现,给原始攻击者加上一层额外的反溯源保护,成为攻防两端之间的一种特殊角色;基于原生项目开发的程序未保持同步更新导致很多原生项目中已经修复的问题在二级开发的应用中以Oday的形式重新回归,软件二次开发伴随的安全问题愈发严重;随着大批量国产化软件普及,针对国产软件的攻击及相关0day漏洞不断涌现,确保这些软件的安全性势在必行。
在针对政府部门的APT攻击中,与外交相关的活动占比超1/5,较往年显得尤为突出;针对国防军事目标的攻击活动主要集中在地区地缘政治关系极度复杂的东欧、南亚两个地区;信息技术行业发现多起供应链攻击;科研教育行业遭受攻击的三大重灾区为韩国、中国、印度。
漏洞利用方面,以浏览器为攻击向量依然是主趋势流,大量以移动端为目标的攻击成为今年APT的首选,网络军火商在其中的参与度愈加提高,这也导致移动端漏洞的地下交易市场价格飙升。攻防两端的角力进入白热化,严重1day漏洞的在野攻击投放速度加快,攻击者能以更快的速度利用最新的漏洞发起攻击。
我们预测,在2024年APT活动将呈现出如下趋势:全球局势动荡催生更加频繁的APT攻击活动;移动端将继续受到攻击者关注;软件供应链仍是常用攻击途径;人工智能技术被攻击者滥用;网络威胁呈现更复杂的生态。,奇安信威胁情报中心使用奇安信威胁雷达对2023年境内的APT攻击活动进行了全方位遥感测绘。监测发现,2023年针对境内目标的APT攻击主要集中在下半年内;从地域分布来看,境内疑似受控IP多集中在沿海省份广东、江苏、上海、浙江等地区。攻击目标主要涉及我国政府机构、科研教育、信息技术、金融商贸、能源等行业。
。2023年,奇安信威胁情报中心通过梳理奇安信红雨滴团队和奇安信安服在客户现场处置排查的真实APT攻击事件,结合使用威胁情报的全线产品告警数据,观察到多个APT组织频繁针对国内重点目标。其中,FaceduckGroup是我们今年首次发现针对国内的攻击团伙;APT-Q-77开始将目标转向芯片领域;APT-Q-15是我们自2022年开始持续跟踪的新组织,主要攻击朝鲜和中国大陆。
基于奇安信威胁雷达的测绘分析,2023年对我国攻击频率最高的APT组织为:
APT-Q-27(GoldenEyeDog)、APT-Q-29 (Winnti)、APT-Q-1(Lazarus)、APT-Q-31(海莲花)、APT-Q-36(Patchwork)、APT-Q-20(毒云藤)、APT-Q-12(伪猎者)等,这些组织疑似控制我国境内IP地址的比例分
别为:24.2%,11.6%,9.7%,7.8%,7.7%,7.5%,5.6%。
,本次报告通过综合分析奇安信威胁雷达测绘数据、奇安信红雨滴团队对客户现场的APT攻击线索排查情况以及奇安信威胁情报支持的全线产品告警数据,得出以下结论:2023年,我国政府机构、科研教育、信息技术、金融商贸、能源行业遭受高级威胁攻击情况突出,占比分别是:20.4%,18.4%,17.3%,
12.2%,10.2%。
。奇安信威胁情报中心在2023年监测到的高级持续性威胁相关公开报告总共369篇。根据开源情报监测显示,在2023年全球至少有80个国家遭遇过APT攻击,披露的大部分APT攻击活动集中在韩国、乌克兰、印度、中国、巴基斯坦、以色列和美国等地。同时报告总共涉及全球95个攻击组织,其中提及率最高的5个APT组织分别是:Lazarus,Group123,Kimsuky,SideCopy,APT28。
本文来自知之小站
PDF报告已分享至知识星球,微信扫码加入立享3万+精选资料,年更新1万+精选报告
(星球内含更多专属精选报告.其它事宜可联系zzxz_88@163.com)