3月25日，奇安信威脅情報中心正式發(fā)布了《全球高級持續(xù)性威脅（APT）2021年度報告》（簡稱《報告》），對過去一年APT活動進行了全面的分析?！秷蟾妗氛J為，現(xiàn)階段中國依舊是全球APT活動的首要地區(qū)性目標(biāo)，網(wǎng)絡(luò)竊密活動與網(wǎng)絡(luò)破壞活動持續(xù)加劇，經(jīng)濟與科技領(lǐng)域網(wǎng)絡(luò)安全，正在經(jīng)受著前所未有的巨大考驗。

《報告》顯示，2021年，奇安信威脅情報中心首次使用奇安信威脅雷達對境內(nèi)的APT攻擊活動進行了全方位遙感測繪，監(jiān)測到我國范圍內(nèi)大量IP地址與數(shù)十個境外APT組織產(chǎn)生過高危通信。這表明至少有數(shù)十個境外APT組織對國內(nèi)目標(biāo)發(fā)起過網(wǎng)絡(luò)攻擊。北京地區(qū)以及廣東、福建、浙江、江蘇等沿海省份作為我國政治中心、經(jīng)濟發(fā)達地區(qū)，是境外APT組織進行網(wǎng)絡(luò)攻擊的主要目標(biāo)地區(qū)。

從受害行業(yè)分布來看，《報告》顯示，基于奇安信威脅雷達遙測數(shù)據(jù)、客戶側(cè)APT事件以及威脅情報告警數(shù)據(jù)綜合分析，2021年涉及我國政府、衛(wèi)生醫(yī)療部門、高新科技企業(yè)的高級威脅事件仍然占主要部分。

另一方面，奇安信威脅情報中心收錄了434篇高級威脅類公開報告，涉及145個已命名的攻擊組織或攻擊行動。數(shù)據(jù)顯示，在全球2021年披露的APT相關(guān)活動報告中，涉及政府（包括外交、政黨、選舉相關(guān)）的攻擊事件占比為23%，其次是醫(yī)療衛(wèi)生行業(yè)的事件占比為18%、科技占比14%。顯而易見，2020年新冠病毒對網(wǎng)絡(luò)攻擊的影響，在2021年仍在延續(xù)。

奇安信威脅情報中心進一步分析了攻擊我國的APT組織歸屬情況?！秷蟾妗凤@示，海蓮花、毒云藤、EICAR、Darkhotel、蔓靈花、魔羅桫等潛伏在我國周邊國家和地區(qū)的APT組織疑似控制了境內(nèi)大部分受控IP地址。海蓮花和毒云藤作為中國的老對手，在2021年依舊保持著超高的活動頻率，對我國網(wǎng)絡(luò)安全造成的威脅最大。

尤其是海蓮花組織。作為國內(nèi)最早披露的東南亞APT組織，海蓮花在2021年的攻擊頻率達到歷史之最，除了對重點目標(biāo)進行滲透外，還會對終端管理軟件公司、安全公司、科技公司進行全方位的攻擊，并成功入侵其代碼服務(wù)器和開發(fā)人員，其目的是修改軟件源代碼從而發(fā)起供應(yīng)鏈打擊，同時還會挖掘政企單位常用軟件的漏洞，這類定制化漏洞極其隱蔽，在排查過程中難以發(fā)現(xiàn)。

值得關(guān)注的是，《報告》認為，除常規(guī)的魚叉、水坑等攻擊方式之外，0day漏洞已然成為APT攻擊活動中的常規(guī)武器和各大APT組織的“必爭之地”。

《報告》顯示，2021年以來，0day漏洞攻擊呈爆發(fā)趨勢，在野利用的0day/1day漏洞數(shù)量超過70個，這在網(wǎng)絡(luò)安全歷史上是前所未見的。其不僅體現(xiàn)在漏洞數(shù)量多，而且漏洞類型幾乎覆蓋所有壟斷市場份額的系統(tǒng)和產(chǎn)品，包括瀏覽器(Chrome/IE/Safari)、Windows操作系統(tǒng)、Windows Exchange Server、Microsoft Office、Adobe Reader、Apache HTTP Sever、iOS、Android等。

奇安信威脅情報中心分析發(fā)現(xiàn)，在野0day漏洞利用的整體趨勢以Windows平臺為基礎(chǔ)，Chrome/Safari瀏覽器為主流向多平臺延伸，內(nèi)網(wǎng)核心服務(wù)域控/Exchange成為新的爆發(fā)點，同時隨著iOS，Android生態(tài)的不斷完善，相關(guān)APT組織針對這些平臺的0day攻擊也逐年以穩(wěn)定的趨勢增加。

0day漏洞作為APT組織提升攻擊能力的一大武器，不僅成熟的APT組織，包括一些以往不具備0day漏洞挖掘利用能力的組織，如蔓靈花組織，也在通過類似第三方漏洞賣家的渠道擴充自身的0day存儲，追求0day資源，不斷發(fā)展自身，不斷更新其攻擊武器和手段，并且這已經(jīng)成為了APT組織的一大趨勢。

針對愈演愈烈的APT攻擊，《報告》預(yù)測，在2022年，APT活動將呈現(xiàn)出如下六大趨勢：疫苗及相關(guān)產(chǎn)業(yè)將會遭到持續(xù)攻擊；針對中國的APT行動將持續(xù)加劇且更加隱秘；在野0day漏洞利用持續(xù)爆發(fā)；瞄準(zhǔn)關(guān)鍵基礎(chǔ)設(shè)施的破壞和攻擊會越發(fā)泛濫；針對網(wǎng)絡(luò)安全產(chǎn)品的攻擊會受到APT組織更多的青睞；會爆發(fā)更多、更嚴(yán)重的供應(yīng)鏈攻擊事件。

閱讀《報告》全文可訪問：

??https://www.qianxin.com/threat/reportdetail?report_id=150??