近日，綠盟科技伏影實(shí)驗(yàn)室聯(lián)合CNCERT網(wǎng)絡(luò)安全應(yīng)急技術(shù)國(guó)家工程研究中心發(fā)布《2021年度高級(jí)威脅研究報(bào)告》（以下簡(jiǎn)稱《報(bào)告》）?！秷?bào)告》不僅總結(jié)了APT攻擊技術(shù)發(fā)展和重點(diǎn)攻擊目標(biāo),還分別針對(duì)伏影實(shí)驗(yàn)室披露的國(guó)內(nèi)外APT攻擊活動(dòng)進(jìn)行了詳細(xì)分析，總結(jié)了本年度APT攻擊活動(dòng)的特征，并根據(jù)分析結(jié)果提出了預(yù)測(cè)和防范建議。

APT攻擊防范要當(dāng)心“定制化的釣魚郵件”

各國(guó)家級(jí)APT組織的攻擊活動(dòng)主要圍繞定制化的釣魚郵件展開，最終通過其中的各類惡意附件文件達(dá)成攻擊目的。被廣泛使用的惡意附件類型包括文檔、快捷方式文件、html文件等。

釣魚文檔誘餌攻擊類型

經(jīng)過多年發(fā)展，釣魚文檔相關(guān)技術(shù)已經(jīng)成熟，惡意宏、漏洞利用、機(jī)制濫用等三類常見攻擊實(shí)現(xiàn)途徑。

為了完善上述主流的攻擊方式以及擴(kuò)展自身攻擊能力，2021年，APT組織引入并落地了多種新型攻擊技術(shù)，包括新型0day漏洞、新型社會(huì)工程學(xué)手法、新型特征隱藏手法等。

新型0day漏洞

2021年初，Lazarus組織在一次攻擊活動(dòng)中使用了編號(hào)為CVE-2021-26411的IE 0day漏洞。在相關(guān)攻擊流程中，CVE-2021-26411漏洞解決了shellcode執(zhí)行、提權(quán)、進(jìn)程駐留等多個(gè)方面的問題，使攻擊具備很強(qiáng)的破壞性。情報(bào)顯示，該漏洞在被披露后受到了廣泛關(guān)注，并被融合至在野利用甚至其他新型APT組織的攻擊活動(dòng)當(dāng)中。

新型社會(huì)工程學(xué)手法

一種基于新媒體運(yùn)營(yíng)的目標(biāo)篩選與釣魚手法被Lazarus組織推廣使用，并被Charming Kitten等其他APT組織借鑒。Lazarus組織攻擊者制作了多個(gè)偽造的安全研究者社交賬號(hào)并進(jìn)行持續(xù)運(yùn)營(yíng)，通過發(fā)布所謂的漏洞研究信息吸引關(guān)注。隨后，通過一對(duì)一的社交互動(dòng)引誘這些目標(biāo)接收帶毒文件并運(yùn)行，實(shí)現(xiàn)精準(zhǔn)的定向竊密攻擊。

新型特征隱藏手法

一種結(jié)合類DGA域名與DNS tunneling的流量隱藏技術(shù)，給UNC2452組織的SunBurst木馬提供了完美的反探測(cè)能力。這種基于DNS信道的特殊的通信手法成功繞過了所有受害者的檢測(cè)防護(hù)機(jī)制，幫助UNC2452攻擊者實(shí)現(xiàn)了長(zhǎng)達(dá)9個(gè)月的供應(yīng)鏈攻擊活動(dòng)。

政府部門、衛(wèi)生防疫機(jī)構(gòu)成為APT重點(diǎn)攻擊目標(biāo)

目前，國(guó)家級(jí)APT組織整體上依然以地緣政治上的敵對(duì)勢(shì)力作為主要攻擊目標(biāo)，并重點(diǎn)滲透在當(dāng)前時(shí)段內(nèi)能夠?qū)^(qū)域形勢(shì)產(chǎn)生巨大影響的機(jī)構(gòu)和設(shè)施，這些重點(diǎn)目標(biāo)包括政府部門、衛(wèi)生防疫機(jī)構(gòu)和法務(wù)部門等。

此外，為滿足不斷增長(zhǎng)的攻擊能力需求，APT組織開始攻擊安全研究人員，試圖獲取0day漏洞和滲透工具等，豐富自己的攻擊手段。

免責(zé)聲明：市場(chǎng)有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎！此文僅供參考，不作買賣依據(jù)。

免責(zé)聲明：本文不構(gòu)成任何商業(yè)建議，投資有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎！本站發(fā)布的圖文一切為分享交流，傳播正能量，此文不保證數(shù)據(jù)的準(zhǔn)確性，內(nèi)容僅供參考

關(guān)鍵詞：