2020年，以“COVID-19”疫情為主題的魚叉攻擊已成為APT組織的慣用手法， 遠(yuǎn)程辦公成為APT攻擊的“眾矢之的”……

2020年，亞洲是APT攻擊最活躍的地區(qū)，另外中東與東歐也相對(duì)頻繁。由此可見，APT攻擊更“青睞”于局勢(shì)敏感以及動(dòng)蕩的地區(qū)……

2020年，APT即服務(wù)快速發(fā)展，雇傭組織在基于經(jīng)濟(jì)利益的基礎(chǔ)上會(huì)對(duì)外提供攻擊服務(wù)……

據(jù)深信服千里目安全實(shí)驗(yàn)室發(fā)布的《2020年網(wǎng)絡(luò)安全態(tài)勢(shì)洞察報(bào)告》（以下簡稱報(bào)告），2020年，APT通過社會(huì)工程學(xué)，借“COVID-19”上位，并呈現(xiàn)出許多新的特點(diǎn)和發(fā)展趨勢(shì)。

APT攻擊區(qū)域性特征依舊明顯，雇傭組織提供APT服務(wù)成趨勢(shì)

據(jù)《報(bào)告》顯示，2020年，APT組織區(qū)域性特征依舊明顯，主要活躍在東亞、東南亞、南亞、東歐等局勢(shì)敏感以及動(dòng)蕩的地區(qū)。

東亞地區(qū)是APT組織的首選目標(biāo)，活躍在東亞地區(qū)的Lazarus以及DarkHotel 更是 APT組織中的頂級(jí)組織。

東南亞地區(qū)比較活躍的APT組織為OceanLotus，也叫做海蓮花組織，2020年其主要對(duì)周圍地區(qū)相關(guān)國家以及本國海內(nèi)外異見人士進(jìn)行攻擊與信息監(jiān)聽，今年其最大的變化是在攻擊行動(dòng)中進(jìn)行虛擬數(shù)字貨幣挖礦活動(dòng)。

南亞地區(qū)的相關(guān)APT組織在2020年對(duì)中國發(fā)起的攻擊是最為活躍，其中包括了BITTER、摩訶草、Confucius、SideWinder等。

東歐地區(qū)的APT組織攻擊活動(dòng)主要以中東、歐洲以及北美地區(qū)作為主要目標(biāo)，2020年東歐地區(qū)相對(duì)比較活躍的組織有Gamaredon、APT28以及APT29（WellMess）組織，其中WellMess涉及國內(nèi)相關(guān)攻擊活動(dòng)。

目前，APT攻擊可以認(rèn)為是最先進(jìn)的網(wǎng)絡(luò)攻擊形式，是當(dāng)前網(wǎng)絡(luò)安全防護(hù)的重點(diǎn)。除傳統(tǒng)傳統(tǒng)上出于政治或經(jīng)濟(jì)動(dòng)機(jī)的老練攻擊者攻擊外，國內(nèi)外安全廠商陸續(xù)披露了多個(gè)“雇傭黑客”組織的攻擊行為。

以2020年被披露的雇傭黑客組織DeathStalker為例，該組織主要針對(duì)從事金融業(yè)或金融業(yè)合作的實(shí)體，包括法律辦事處、財(cái)富咨詢公司和金融技術(shù)公司，其對(duì)我國也發(fā)起過相關(guān)攻擊行動(dòng)。

雇傭黑客組織使用的戰(zhàn)術(shù)、技術(shù)和程序上已經(jīng)達(dá)到了國家級(jí)的水平，其會(huì)向出價(jià)最高的人提供網(wǎng)絡(luò)間諜服務(wù)，這可能是未來高級(jí)威脅攻擊的新趨勢(shì)，即APT即服務(wù)。

除了區(qū)域特征明顯，APT攻擊發(fā)展還有三大顯著特征

《報(bào)告》指出，從APT整體活動(dòng)來看，未來，局勢(shì)敏感以及動(dòng)蕩的地區(qū)相關(guān)的APT攻擊活動(dòng)會(huì)更加頻繁，未來地緣政治仍然是APT威脅組織的重要目標(biāo)，此外，APT攻擊發(fā)展還有三大顯著特征：

【特征1】漏洞開發(fā)與0day網(wǎng)絡(luò)軍火商興起

漏洞是APT武器庫中不可缺失的資產(chǎn)之一，包括但不限于系統(tǒng)漏洞、應(yīng)用漏洞（如IE、Firefox、Exchange）、網(wǎng)絡(luò)基礎(chǔ)設(shè)施（路由器、網(wǎng)絡(luò)邊界產(chǎn)品）漏洞，該漏洞庫的強(qiáng)大與否取決于APT組織等級(jí)。一般性的APT組織會(huì)搜集與整理歷史漏洞，并且涉及平臺(tái)少；國家級(jí)APT組織在歷史漏洞基礎(chǔ)上還會(huì)進(jìn)行0day漏洞挖掘與利用開發(fā)。

頂級(jí)APT組織會(huì)繼續(xù)挖掘漏洞與開發(fā)相關(guān)利用工具；而不具有漏洞挖掘的組織可以通過0day網(wǎng)絡(luò)軍火商購買相關(guān)的漏洞利用工具。

【特征2】利用入口設(shè)備與管理軟件

利用虛擬網(wǎng)絡(luò)進(jìn)行攻擊在很早就已經(jīng)存在了，因?yàn)橐咔槠陂g居家辦公以及遠(yuǎn)程辦公增多，更多的企業(yè)依賴虛擬網(wǎng)絡(luò)開展業(yè)務(wù)。2020年國內(nèi)外已經(jīng)出現(xiàn)了多起虛擬網(wǎng)絡(luò)漏洞攻擊事件、網(wǎng)絡(luò)邊界設(shè)備漏洞攻擊事件。

在2020年底時(shí)，美國NSA披露俄羅斯相關(guān)APT組織正在利用VMware漏洞進(jìn)行攻擊活動(dòng)。

未來，APT組織更多聚焦在這類設(shè)備與軟件，深入分析該類設(shè)備以及軟件，挖掘其中的安全漏洞，實(shí)現(xiàn)以點(diǎn)擊面的攻擊效果，甚至達(dá)到供應(yīng)鏈攻擊的效果。

【特征3】多平臺(tái)攻擊一體化

除了傳統(tǒng)的Windows、Linux以及MAC OS系統(tǒng)平臺(tái)，越來越多的APT組織已經(jīng)在移動(dòng)端進(jìn)行監(jiān)控布局與攻擊。在2020年，多個(gè)APT組織在移動(dòng)端的攻擊事件不斷被披露，例如BITTER、OceanLotus、Patchwork、SideWinder、Donot等組織。

并且伴隨著物聯(lián)網(wǎng)以及5G技術(shù)的逐漸發(fā)展與完善，APT組織同樣會(huì)對(duì)該類平臺(tái)研究相關(guān)的攻擊能力。除了新增其他平臺(tái)的攻擊能力之外，多平臺(tái)攻擊一體化同樣也是未來的趨勢(shì)之一，例如Lazarus組織的三平臺(tái)一體化攻擊框架MATA。

此外，《報(bào)告》還指出，當(dāng)前網(wǎng)絡(luò)黑產(chǎn)活動(dòng)專業(yè)化、自動(dòng)化程度不斷提升，技術(shù)對(duì)抗越發(fā)激烈，已逐漸呈現(xiàn)出與APT類似的攻擊特征，兩者之間的技術(shù)差異也逐漸模糊，隨著網(wǎng)絡(luò)安全形勢(shì)的發(fā)展，大家在關(guān)注APT攻擊的同時(shí)，也應(yīng)該對(duì)網(wǎng)絡(luò)黑產(chǎn)活動(dòng)予以足夠的重視。

完整報(bào)告可前往深信服官網(wǎng)首頁下載