近日,綠盟科技伏影實驗室聯合CNCERT網路安全應急技術國家工程研究中心釋出《2021年度高階威脅研究報告》(以下簡稱《報告》)。《報告》不僅總結了APT攻擊技術發展和重點攻擊目標,還分別針對伏影實驗室披露的國內外APT攻擊活動進行了詳細分析,總結了2021年度APT攻擊活動的特徵,並根據分析結果提出了預測和防範建議。
APT攻擊防範要當心“定製化的釣魚郵件”
各國家級APT組織的攻擊活動主要圍繞定製化的釣魚郵件展開,最終透過其中的各類惡意附件檔案達成攻擊目的。被廣泛使用的惡意附件型別包括文件、快捷方式檔案、html檔案等。
釣魚文件誘餌攻擊型別
經過多年發展,釣魚文件相關技術已經成熟,惡意宏、漏洞利用、機制濫用等三類常見攻擊實現途徑。
為了完善上述主流的攻擊方式以及擴充套件自身攻擊能力,2021年,APT組織引入並落地了多種新型攻擊技術,包括新型0day漏洞、新型社會工程學手法、新型特徵隱藏手法等。
新型0day漏洞
2021年初,Lazarus組織在一次攻擊活動中使用了編號為CVE-2021-26411的IE 0day漏洞。在相關攻擊流程中,CVE-2021-26411漏洞解決了shellcode執行、提權、程式駐留等多個方面的問題,使攻擊具備很強的破壞性。情報顯示,該漏洞在被披露後受到了廣泛關注,並被融合至在野利用甚至其他新型APT組織的攻擊活動當中。
新型社會工程學手法
一種基於新媒體運營的目標篩選與釣魚手法被Lazarus組織推廣使用,並被Charming Kitten等其他APT組織借鑑。Lazarus組織攻擊者製作了多個偽造的安全研究者社交賬號並進行持續運營,透過釋出所謂的漏洞研究資訊吸引關注。隨後,透過一對一的社互動動引誘這些目標接收帶毒檔案並執行,實現精準的定向竊密攻擊。
新型特徵隱藏手法
一種結合類DGA域名與DNS tunneling的流量隱藏技術,給UNC2452組織的SunBurst木馬提供了完美的反探測能力。這種基於DNS通道的特殊的通訊手法成功繞過了所有受害者的檢測防護機制,幫助UNC2452攻擊者實現了長達9個月的供應鏈攻擊活動。
政府部門、衛生防疫機構成為APT重點攻擊目標
目前,國家級APT組織整體上依然以地緣政治上的敵對勢力作為主要攻擊目標,並重點滲透在當前時段內能夠對區域形勢產生巨大影響的機構和設施,這些重點目標包括政府部門、衛生防疫機構和法務部門等。
此外,為滿足不斷增長的攻擊能力需求,APT組織開始攻擊安全研究人員,試圖獲取0day漏洞和滲透工具等,豐富自己的攻擊手段。
報告下載
更多更詳細的APT攻擊事件介紹以及對於APT攻擊活動的防範建議,可查閱《2021年度高階威脅研究報告》。
請在綠盟科技公眾號後臺回覆“高階威脅研究”可獲取下載連結,或在綠盟科技官方公眾號中點選【綠盟精選】-【綠盟書櫥】可直接閱讀。