近日,綠盟科技聯合廣州大學網絡空間先進技術研究院聯合發布2021年《APT組織情報研究年鑒》,該年鑒借助網絡空間威脅建模知識圖譜和大數據復合語義追蹤技術,對全球372個APT組織知識進行了知識圖譜歸因建檔,形成APT組織檔案館,并對APT組織活動進行大數據追蹤,從而對2021年度新增和活躍的攻擊組織的攻擊活動態勢進行分析���。目前該年鑒所涉及的相關情報和技術已經應用在綠盟科技的威脅情報平臺(NTIP)和UTS�����、IDS�、IPS等多個產品中,并支撐網絡安全檢查以及重大活動保障等活動,取得了非常不錯的成績�。
本文為《APT組織情報研究年鑒》精華解讀系列文章之一,本篇主要介紹年鑒中提到的綠盟科技2021年基于爬蟲框架和知識圖譜自然語言處理技術,從全球100多個開源情報源新采集到的APT組織(新增APT組織)和被監測到有活躍跡象的APT組織的總體態勢情況,以及在年鑒中呈現的APT組織信息情況。
一. 宏觀態勢
基于綠盟科技云端服務2020年9月至2021年9月數據,從情報新增以及活躍監控發現的120個APT組織,可以總結出整個APT宏觀態勢具有如下特征:
亞洲是APT組織重點關注的區域,共22個國家遭受超過54次APT組織發起的攻擊活動�。其中中國(包括中國臺灣和中國香港)就遭受12個組織的攻擊,并且集中于政府����、國防領域,從總體上看APT組織主要的意圖仍以間諜活動、敏感信息竊取為主�����。
APT攻擊的偽裝技術的發展導致APT歸因的復雜性增大,從而使得對APT組織的歸因結果并不準確;已發布的APT報告顯示,歸因于我國的APT組織數量逐年增高,2021年新增的63個APT組織中有9個被國外研究機構歸因于我國,有4個歸因于俄羅斯,但是同期,歸因為美國的組織卻只有1個����。隨著偽裝技術的發展(比如ATT&CK戰術(tactic)中TA0005就是“防御規避”,技術(technique)中T1036就叫做“偽裝”),越來越多的偽裝嫁禍使得難以從技術角度進行APT的歸因���。被偽裝嫁禍的典型是朝鮮Lazarus Group,2021年一共披露了70份相關報告,新增IOC(IP:12,域名:324,郵箱:10,鏈接:410,哈希:1129,漏洞:5)數量遠超正常。從應急和分析結果來看,攻擊我國的APT組織經常偽裝模仿APT32海蓮花的戰術戰法��。從這個方面也說明我們需要加強傳統上攻擊目標不是中國的APT組織的防護并提升歸因相關研究的國際影響力。
供應鏈攻擊開始成為APT組織的常用攻擊手段,由于大部分的企業沒有對供應鏈攻擊做好充足的準備,導致類似案例均造成比較大的影響�����。如SolarWinds供應鏈攻擊事件中根據官方提供的客戶清單,影響超過98個企業,波及政府��、咨詢���、技術、電信石油和天然氣等行業;另一起針對BigNox的NoxPlayer模擬器供應鏈攻擊更是影響全球超過1.5億的用戶��。
以經濟利益為主要攻擊意圖的APT組織占比逐漸提高,新發現的63個組織中有14個以此為活動目標,主要的表現形式為勒索���、挖礦,比較新型的獲益形式則是出售受害目標單位的訪問權限,如UNC1945組織和TA547組織,這類組織在獲取受害單位權限前后表現出截然不同的攻擊技術手段以及攻擊意圖的差別�����。
惡意軟件即服務(MaaS)在APT組織中逐漸流行,除了降低APT組織攻擊成本之外還加大了攻擊者歸因的難度�。以TA系列組織為例包括:TA569、TA800��、TA577���、TA551、TA570等,在初始階段使用Trick����、Dridex、Qbot��、IcedID�����、ZLoader���、Ursnif等惡意軟件感染盡可能多的受害單位,第二階段才分發WastedLocker���、Ryuk���、Egregor、Maze���、Sodinokibi、ProLock等勒索軟件實現其攻擊意圖�。
二. 新增APT組織
基于聚合的博客����、公眾號等180個情報源,2020年10月至2021年9月期間,綠盟科技新增采集APT組織63個,從309個增長至372個,數量增長了約20%,平均每個月新增APT組織約5個,如下圖所示:
APT組織情報新增趨勢
從APT組織地理歸屬上看,41個(約占65%)APT組織未能進行有效的國家歸因,歸因于中國和俄羅斯的APT組織最多,分別為9個和4個,需注意的是,目前APT組織的國家歸因復雜性非常高,部分報告披露的歸因證據其實并不充分,存在誤判和嫁禍的可能性���。APT地理組織分布如下圖所示
APT組織地理分布
可歸因至確切國家的APT組織共22個,且主要分布在亞洲(共15個,占68%),其次分布在歐洲和非洲,分別為6個和1個���。
APT組織地理分布(去除未知)
三. 活躍APT組織
基于綠盟科技云端上下文感知計算的APT組織追蹤技術,2020年10月至2021年9月期間,共監測發現57個APT組織的活躍線索,平均每個月活躍組織約19個����。其中從2020年12月至2021年2月這三個月期間APT組織極為活躍,三個月平均活躍組織將近30個�。
APT組織活躍態勢
監測的57個APT組織中,最為活躍的10個組織分別為:TA505���、Lazarus Group���、MUMMY SPIDER、Viceroy Tiger��、APT37�、Sofacy�、Mirage、OrangeWorm�����、TeamSpy Crew���、Kimsuky,活躍月份均超過六個月。其中TA505和Lazarus Group在過去一年每個月均發現活躍線索,其次是MUMMY SPIDER和Viceroy Tiger,僅一個月沒有監測到其攻擊活動���。
APT組織活躍月份數
四. APT組織圖鑒介紹
在年鑒中,我們將2021年新增采集到的63個APT組織和活躍的56個APT組織按照綠盟科技構建的APT組織檔案館結構進行了統計性的呈現,以APT32(海蓮花)為例:
在表格右上方是按照鉆石模型對APT組織進行各個維度的統計信息呈現,表格最下方這是呈現該APT組織在綠盟科技云端APT知識圖譜中進行圖可視化的情況,展現了該組織關聯的各類威脅知識的情況。圖鑒中所有APT組織均按照上表格式進行呈現,表格主體部分主要描述了APT組織名字�、別名;歷史上攻擊的目標國家�、行業;APT組織首次發現時間�、最近活躍時間;動機和描述信息。
詳細的分析內容和攻擊組織信息可以直接參考完整的《APT組織情報研究年鑒》
(責編:東 華)
手機中網資訊
