《2021年度高級威脅研究報告》 | APT攻擊防范要當心“定制化的釣魚(yú)郵件”

近日，綠盟科技伏影實(shí)驗室聯(lián)合CNCERT網(wǎng)絡(luò )安全應急技術(shù)國家工程研究中心發(fā)布《2021年度高級威脅研究報告》（以下簡(jiǎn)稱(chēng)《報告》）?！秷蟾妗凡粌H總結了APT攻擊技術(shù)發(fā)展和重點(diǎn)攻擊目標,還分別針對伏影實(shí)驗室披露的國內外APT攻擊活動(dòng)進(jìn)行了詳細分析，總結了本年度APT攻擊活動(dòng)的特征，并根據分析結果提出了預測和防范建議。

APT攻擊防范要當心“定制化的釣魚(yú)郵件”

各國家級APT組織的攻擊活動(dòng)主要圍繞定制化的釣魚(yú)郵件展開(kāi)，最終通過(guò)其中的各類(lèi)惡意附件文件達成攻擊目的。被廣泛使用的惡意附件類(lèi)型包括文檔、快捷方式文件、html文件等。

釣魚(yú)文檔誘餌攻擊類(lèi)型

經(jīng)過(guò)多年發(fā)展，釣魚(yú)文檔相關(guān)技術(shù)已經(jīng)成熟，惡意宏、漏洞利用、機制濫用等三類(lèi)常見(jiàn)攻擊實(shí)現途徑。

為了完善上述主流的攻擊方式以及擴展自身攻擊能力，2021年，APT組織引入并落地了多種新型攻擊技術(shù)，包括新型0day漏洞、新型社會(huì )工程學(xué)手法、新型特征隱藏手法等。

新型0day漏洞

2021年初，Lazarus組織在一次攻擊活動(dòng)中使用了編號為CVE-2021-26411的IE 0day漏洞。在相關(guān)攻擊流程中，CVE-2021-26411漏洞解決了shellcode執行、提權、進(jìn)程駐留等多個(gè)方面的問(wèn)題，使攻擊具備很強的破壞性。情報顯示，該漏洞在被披露后受到了廣泛關(guān)注，并被融合至在野利用甚至其他新型APT組織的攻擊活動(dòng)當中。

新型社會(huì )工程學(xué)手法

一種基于新媒體運營(yíng)的目標篩選與釣魚(yú)手法被Lazarus組織推廣使用，并被Charming Kitten等其他APT組織借鑒。Lazarus組織攻擊者制作了多個(gè)偽造的安全研究者社交賬號并進(jìn)行持續運營(yíng)，通過(guò)發(fā)布所謂的漏洞研究信息吸引關(guān)注。隨后，通過(guò)一對一的社交互動(dòng)引誘這些目標接收帶毒文件并運行，實(shí)現精準的定向竊密攻擊。

新型特征隱藏手法

一種結合類(lèi)DGA域名與DNS tunneling的流量隱藏技術(shù)，給UNC2452組織的SunBurst木馬提供了完美的反探測能力。這種基于DNS信道的特殊的通信手法成功繞過(guò)了所有受害者的檢測防護機制，幫助UNC2452攻擊者實(shí)現了長(cháng)達9個(gè)月的供應鏈攻擊活動(dòng)。

政府部門(mén)、衛生防疫機構成為APT重點(diǎn)攻擊目標

目前，國家級APT組織整體上依然以地緣政治上的敵對勢力作為主要攻擊目標，并重點(diǎn)滲透在當前時(shí)段內能夠對區域形勢產(chǎn)生巨大影響的機構和設施，這些重點(diǎn)目標包括政府部門(mén)、衛生防疫機構和法務(wù)部門(mén)等。

此外，為滿(mǎn)足不斷增長(cháng)的攻擊能力需求，APT組織開(kāi)始攻擊安全研究人員，試圖獲取0day漏洞和滲透工具等，豐富自己的攻擊手段。

免責聲明：市場(chǎng)有風(fēng)險，選擇需謹慎！此文僅供參考，不作買(mǎi)賣(mài)依據。

免責聲明：本文不構成任何商業(yè)建議，投資有風(fēng)險，選擇需謹慎！本站發(fā)布的圖文一切為分享交流，傳播正能量，此文不保證數據的準確性，內容僅供參考

關(guān)鍵詞：