APT組織檔案館｜2021年度APT組織活動態勢分析

近日，綠盟科技聯合廣州大學網路空間先進技術研究院聯合釋出2021年《APT組織情報研究年鑑》，該年鑑藉助網路空間威脅建模知識圖譜和大資料複合語義追蹤技術，對全球372個APT組織知識進行了知識圖譜歸因建檔，形成APT組織檔案館，並對APT組織活動進行大資料追蹤，從而對2021年度新增和活躍的攻擊組織的攻擊活動態勢進行分析。目前該年鑑所涉及的相關情報和技術已經應用在綠盟科技的威脅情報平臺（NTIP）和UTS、IDS、IPS等多個產品中，並支撐網路安全檢查以及重大活動保障等活動，取得了非常不錯的成績。

本文為《APT組織情報研究年鑑》精華解讀系列文章之一，本篇主要介紹年鑑中提到的綠盟科技2021年基於爬蟲框架和知識圖譜自然語言處理技術，從全球100多個開源情報源新採集到的APT組織（新增APT組織）和被監測到有活躍跡象的APT組織的總體態勢情況，以及在年鑑中呈現的APT組織資訊情況。

一.  宏觀態勢

基於綠盟科技雲端服務2020年9月至2021年9月資料，從情報新增以及活躍監控發現的120個APT組織，可以總結出整個APT宏觀態勢具有如下特徵：

亞洲是APT組織重點關注的區域，共22個國家遭受超過54次APT組織發起的攻擊活動。其中中國（包括台灣和中國香港）就遭受12個組織的攻擊，並且集中於政府、國防領域，從總體上看APT組織主要的意圖仍以間諜活動、敏感資訊竊取為主。

APT攻擊的偽裝技術的發展導致APT歸因的複雜性增大，從而使得對APT組織的歸因結果並不準確；已釋出的APT報告顯示，歸因於我國的APT組織數量逐年增高，2021年新增的63個APT組織中有9個被國外研究機構歸因於我國，有4個歸因於俄羅斯，但是同期，歸因為美國的組織卻只有1個。隨著偽裝技術的發展（比如ATT&CK戰術（tactic）中TA0005就是“防禦規避”，技術（technique）中T1036就叫做“偽裝”），越來越多的偽裝嫁禍使得難以從技術角度進行APT的歸因。被偽裝嫁禍的典型是朝鮮Lazarus Group，2021年一共披露了70份相關報告，新增IOC（IP：12，域名：324，郵箱：10，連結：410，雜湊：1129，漏洞：5）數量遠超正常。從應急和分析結果來看，攻擊我國的APT組織經常偽裝模仿APT32海蓮花的戰術戰法。從這個方面也說明我們需要加強傳統上攻擊目標不是中國的APT組織的防護並提升歸因相關研究的國際影響力。

供應鏈攻擊開始成為APT組織的常用攻擊手段，由於大部分的企業沒有對供應鏈攻擊做好充足的準備，導致類似案例均造成比較大的影響。如SolarWinds供應鏈攻擊事件中根據官方提供的客戶清單，影響超過98個企業，波及政府、諮詢、技術、電信石油和天然氣等行業；另一起針對BigNox的NoxPlayer模擬器供應鏈攻擊更是影響全球超過1.5億的使用者。

以經濟利益為主要攻擊意圖的APT組織佔比逐漸提高，新發現的63個組織中有14個以此為活動目標，主要的表現形式為勒索、挖礦，比較新型的獲益形式則是出售受害目標單位的訪問許可權，如UNC1945組織和TA547組織，這類組織在獲取受害單位許可權前後表現出截然不同的攻擊技術手段以及攻擊意圖的差別。

惡意軟體即服務（MaaS）在APT組織中逐漸流行，除了降低APT組織攻擊成本之外還加大了攻擊者歸因的難度。以TA系列組織為例包括：TA569、TA800、TA577、TA551、TA570等，在初始階段使用Trick、Dridex、Qbot、IcedID、ZLoader、Ursnif等惡意軟體感染儘可能多的受害單位，第二階段才分發WastedLocker、Ryuk、Egregor、Maze、Sodinokibi、ProLock等勒索軟體實現其攻擊意圖。

二.  新增APT組織

基於聚合的部落格、公眾號等180個情報源，2020年10月至2021年9月期間，綠盟科技新增採集APT組織63個，從309個增長至372個，數量增長了約20%，平均每個月新增APT組織約5個，如下圖所示：

APT組織情報新增趨勢

從APT組織地理歸屬上看，41個（約佔65%）APT組織未能進行有效的國家歸因，歸因於中國和俄羅斯的APT組織最多，分別為9個和4個，需注意的是，目前APT組織的國家歸因複雜性非常高，部分報告披露的歸因證據其實並不充分，存在誤判和嫁禍的可能性。APT地理組織分佈如下圖所示

APT組織地理分佈

可歸因至確切國家的APT組織共22個，且主要分佈在亞洲（共15個，佔68%），其次分佈在歐洲和非洲，分別為6個和1個。

APT組織地理分佈（去除未知）

三.  活躍APT組織

基於綠盟科技雲端上下文感知計算的APT組織追蹤技術，2020年10月至2021年9月期間，共監測發現57個APT組織的活躍線索，平均每個月活躍組織約19個。其中從2020年12月至2021年2月這三個月期間APT組織極為活躍，三個月平均活躍組織將近30個。

APT組織活躍態勢

監測的57個APT組織中，最為活躍的10個組織分別為：TA505、Lazarus Group、MUMMY SPIDER、Viceroy Tiger、APT37、Sofacy、Mirage、OrangeWorm、TeamSpy Crew、Kimsuky，活躍月份均超過六個月。其中TA505和Lazarus Group在過去一年每個月均發現活躍線索，其次是MUMMY SPIDER和Viceroy Tiger，僅一個月沒有監測到其攻擊活動。

APT組織活躍月份數

四.  APT組織圖鑑介紹

在年鑑中，我們將2021年新增採集到的63個APT組織和活躍的56個APT組織按照綠盟科技構建的APT組織檔案館結構進行了統計性的呈現，以APT32（海蓮花）為例：

圖鑑中所有APT組織均按照上表格式進行呈現，表格主體部分主要描述了APT組織名字、別名；歷史上攻擊的目標國家、行業；APT組織首次發現時間、最近活躍時間；動機和描述資訊。

在表格右上方是按照鑽石模型對APT組織進行各個維度的統計資訊呈現，表格最下方這是呈現該APT組織在綠盟科技雲端APT知識圖譜中進行圖視覺化的情況，展現了該組織關聯的各類威脅知識的情況。

詳細的分析內容和攻擊組織資訊可以直接參考完整的《APT組織情報研究年鑑》