2023年我國APT攻擊威脅態勢觀察:受攻擊態勢呈飽和式狀態
責編:gltian |2024-03-22 15:27:39日前,天翼安全科技有限公司(中國電信安全公司,簡稱“電信安全”)研究發布了《2023年國內APT攻擊威脅年報》,對2023年國內APT(高級持續性威脅)攻擊威脅態勢和相關活躍組織進行了全面分析。報告數據顯示,2023年的APT攻擊威脅態勢比2022年更加嚴峻,國內被APT攻擊態勢呈飽和式狀態。
1?概述
電信安全水滴實驗室發現,2023年國內被APT攻擊態勢呈飽和式狀態。APT威脅狩獵系統建設運營半年來,追蹤常年活躍于國內的APT組織10多個,發現APT事件871起,開展8次專項行動,確定攻擊對象單位300多家,覆蓋航空航天、JG、GF、能源、金融、科研、教育、醫療、外交、外貿、邊防、大基建、數字化供應鏈等十多個行業。
APT威脅狩獵全局概覽
2023年國內APT事件Top5省份依次是北京、廣東、江蘇、浙江、上海。從攻擊頻率評估,當前國內面臨APT攻擊威脅依次是來自東南亞、南亞、臺海、東北亞、東歐、歐美等地區;從攻擊武器庫復雜度、發現難度和造成影響等維度評估,則依次是來自歐美、東歐、東北亞、臺海、東南亞、南亞。
電信安全水滴實驗室預計,相較往年,2024年的APT攻擊威脅將呈現更為嚴峻的情況。做好APT攻擊威脅控制,則需要從多維度、多層次做綜合評估和聯合舉措。電信安全水滴實驗室認為做好APT攻擊威脅管控,需要從宏觀角度落地以下舉措:
·?建設國家體系化的前置狩獵假想威脅,從攻擊幕后背景需求假想攻擊行業、對象、方式,主動對假想行業的重點企業進行風險狩獵;
·?建設體系化的主動威脅狩獵,全面常態化前置攻擊風險監測,打通威脅從狩獵、監測、分析、預警、響應、阻斷、排查、溯源、鏈路還原、畫像、反制、加固、復盤、全網評估等閉環;
·?國家監管統籌全局,安全廠商風險狩獵,全面風險評估,企業落地響應的多方協同,達到將攻擊事件點快速轉化為同源攻擊專項行動,實現全面化的主動防御和前置預警的聯防聯控效果。
2?2023年APT攻擊威脅態勢詳情
真正具備APT能力的攻擊,其本質目的大概有如下情形:
·?長期潛伏攻擊對象內部網絡,采集內部高價值數據作為有效情報信息,為幕后國家智庫做政策提供依據,為其外交政治談判提供籌碼,為其軍事、科技等發展提供科研成果;
·?控制攻擊對象核心生產設備,必要時期制造極限安全場景,引起社會恐慌,影響政府、社會、經濟、軍事、民生混亂,利用輿情左右目標國家的發展,甚至決定戰爭結局的走向;
當然,不同的APT組織由于地緣和時政的差異與變化,攻擊的側重、需求、行業和對象均存在差異。
2.1 東南亞方向
攻擊國內資產最為頻繁的區域APT組織來自東南亞方向,可以說是“馬克沁機槍”式攻擊。在2023年,發現該區域APT組織多次利用在野0/Nday漏洞對國內資產展開專項行動攻擊,其中包含電信安全發現并命名的專項攻擊如“尼格風暴”、“暗云風暴”、“絲綢風暴”等,在專項行動中造成的攻擊事件約300個,約占全部攻擊事件的36%,攻擊行業覆蓋海洋、能源、政務、JG、GF、科研、教育、數字化、外貿、互聯網、醫療、能源、邊防等十多個行業。
2.2 南亞方向
在南亞地區的諸多APT組織中,比較突出的當屬CNC,該組織長期針對國內航空航天行業攻擊,并在2023年1月至7月間針對國內多個航空航天單位展開專項攻擊,且疑似存在竊取科研數據跡象。
2.3 東北亞方向
由于東北亞局勢的長期不穩定因素,造成各方APT組織勢力處于長期活躍狀態。例如ClickOnce和Darkhotel其幕后背景都隸屬于某軍情部門,在2023年底均發現其在國內的攻擊痕跡。2023年10月至2024年1月,Darkhotel組織對國內展開密集釣魚攻擊,攻擊對象超過三十個,且主要以JG單位為主,其目的是竊取終端敏感數據加密回傳境外。
2.4?臺海方向
臺海方向的APT組織目前比較活躍的是Greenspot(綠斑),仍持續對境內高校、智庫、ZF、外貿、海事等行業做常態化釣魚攻擊。由于人為監視成本和風險都比較大,常態化監視東南沿海軍情、警情等機密信息可能是“綠斑”后期的需求方向,或許目前已經開始延伸。
2.5?歐美方向
2023年6月和12月,知名安全廠商(卡巴斯基)先后兩次披露疑似美國國家安全局(NSA)針對多國外交人員的“三角測量”專項攻擊。在2023年7月,國家計算機病毒應急處理中心和360公司監測發現,武漢市地震監測中心部分地震速報數據前端臺站采集點網絡設備遭受疑似歐美方向APT組織的網絡攻擊。如是屬實,這或許是揭下境外國家企圖長期窺探并繪制針對我國的三維空間(軍事、能源、交通)作戰地圖的真相。
2.6?東歐方向
由于俄烏沖突的持續,雙方網絡空間作戰已經進入白熱化階段,似有相互攻擊運營商核心骨干網絡,造成大面積網絡中斷,制造社會輿情恐慌,擾亂軍心民意的跡象。在高度現代化、信息化、智能化時代,網絡信息通信、高算力資產、能源產送網、交通運輸網等,或將是極限場景下的重點攻擊對象。
3?針對國內專項攻擊詳情
電信安全水滴實驗室發現,2023年期間,針對國內資產的專項攻擊總計8起,其中6起為境外APT攻擊和2起勒索攻擊。APT攻擊專項分別為來源于東南亞地區的“尼格風暴”、“暗云風暴”、“絲綢風暴”,來源于南亞地區的“九霄行動”,以及針對能源行業的APT&勒索雙類型結合的專項攻擊。勒索專項攻擊分別為Mallox勒索團伙針對數據中心、芯片、生物制藥、金融等行業攻擊和BlackCat勒索團伙針對高新制造、高質量發展類型企業的專項攻擊。
3.1?“尼格風暴”專項
2022年11月16日15:12至2023年4月,追蹤狩獵發現境外黑客利用國內某防火墻漏洞針對我國ZF、JG、GF、醫療、能源、化工、地質等重點行業的40多個高價值企業資產展開攻擊,存在較大的數據泄露風險。綜合線索分析,命名本次攻擊專項為“尼格風暴”。
3.2?“九霄行動”專項
在2023年1月至4月,有境外APT組織偽造成科研結果登記和項目申報通知等形式進行釣魚攻擊,郵件附件中嵌入后門惡意代碼。線索分析拓線發現,國內多個航空航天單位存在被攻擊痕跡,利用逆向估算數據泄漏分析模型計算,目前檢測到國內的攻擊對象可能造成51.98G數據泄漏量。本次專項攻擊歸因為南亞地區背景的APT組織所為,命名本次攻擊專項為“九霄行動”。
3.3?“暗云風暴”專項
2023年8月1日至3日,境外APT組織疑似利用國內數字化管理平臺漏洞,對國內云數字化的政務、大數據中心、交通、醫療、貿易等行業的80多個高價值資產展開定向攻擊。攻擊對象集群空間測繪,并做聚合共性分析發現,96.20%被確定的攻擊對象部署國內某云數字化管理平臺,51.28%被確定的攻擊對象部署于云廠商。結合本次攻擊專項的攻擊對象特征、攻擊手法、攻擊者歸屬等屬性,命名本次APT攻擊專項為“暗云風暴”。
“暗云風暴”與“尼格風暴”相似性大、重合度高,手法和“尼格風暴”中批量使用某防火墻漏洞如出一轍。
3.4?“絲綢風暴”專項
2023年10月17日前后,境外APT組織疑似利用某安全設備遠程命令執行漏洞對國內多個攻擊對象展開網絡攻擊專項。攻擊者在2023年10月17日至12月15日期間,利用相同攻擊手法和攻擊資產,攻擊了包括外貿、互聯網平臺供應鏈、交通、船舶等行業的30余項高價值企業資產,涉及重點攻擊對象有多個政務部門和研究設計院,以及大量高校、互聯網設備供應商、醫院等行業單位。
結合本次攻擊專項的攻擊對象特征、攻擊手法、攻擊時間、攻擊者歸屬等屬性,命名本次APT攻擊專項為“絲綢風暴”。分析對比歷史線索發現,經比對發現,“絲綢風暴”與“尼格風暴”兩個專項行動使用的特馬基因一致。此外,在2023年8月18日的同源木馬倉儲站點下載木馬關聯事件中,攻擊對象是被利用與“暗云風暴”專項相同的漏洞攻擊,攻擊資產指紋高度重合。因此,判斷“尼格風暴”、“暗云風暴”、“絲綢風暴”先后三個專項攻擊屬于同一幕后組織所為。
3.5?“軍刀行動”專項
在2023年10月6日至2024年2月2日期間,有境外APT組織對國內JG行業展開專項竊密攻擊活動。攻擊者疑似通過釣魚郵件方式滲透到攻擊對象企業內部網絡,采集敏感數據加密回傳境外。綜合各項分析判斷,本次針對國內JG、邊貿、通信、政務、科研等行業攻擊的專項行動,其幕后歸屬疑似為東北亞地區Darkhotel組織,命名本次專項攻擊為“軍刀行動”。
3.6?Mallox勒索團伙利用1day漏洞攻擊專項
在2023年11月28日至12月8日,境外高級勒索團伙疑似利用某OA管理系統、某審批管理系統、某資源管理系統的漏洞,攻擊中國境內能源、高新科技、數據中心、金融和生物制藥等行業的20多個企業,植入后門后,嘗試內網橫移竊取數據,并投遞Mallox勒索木馬加密數據,且已有多個攻擊對象被數據加密勒索,初步估算整個專項攻擊可能造成50G以上的數據泄露。
3.7?BlackCat勒索團伙攻擊高質量發展行業專項
在2023年12月1日至28日期間,境外高級勒索團伙通過社工投毒方式,攻擊國內高新制造、高質量發展類型企業的十多個資產,植入后門后,嘗試內網橫移竊取數據,并投遞Mallox勒索木馬加密數據,初步估算可能造成10G的數據泄露,專項攻擊風險在2024年1月18日前基本得到清除。
4?對于2024年國內安全威脅的發展預測
根據電信安全水滴實驗室風險監測數據對比發現,2023年的APT攻擊威脅態勢比2022年嚴峻。由于國際局勢的紛繁復雜,各方利益矛盾紛繁交錯,網絡戰爭的進一步發展,2024年的APT攻擊威脅將比2023年更為嚴峻,也將面臨本土化安全設備或云辦公系統的通用漏洞的批量化攻擊、上游供應鏈攻擊、非傳統模式攻擊或APT與勒索雙模式結合攻擊和數據外泄等風險。
4.1?APT攻擊行業趨勢量變
綜合多維度評估,2023年受APT攻擊威脅較大的行業是數字化政務、JG、GF、高新科技(通信:5G、衛星通信、量子通信、骨干路由、大型計算,芯片:設計、制造、GPU,自動化:大型制造:船舶、高鐵、機器人,新能源:能源存儲、新材料研發)、能源系統、金融系統、教育系統、交通系統。從大方向預測,2024年的APT攻擊行業趨勢基本與2023年一致,但細分行業可能會向數字化政務、JG、GF、智能計算、智能電控、智能交通等新質生產力行業拓展。
4.2?APT定向攻擊繼續拓展通用漏洞批量化攻擊
2024年針對國內APT攻擊威脅的發展可能有以下跡象/趨勢:
· APT攻擊思路越發與HW攻擊隊模式吻合;
· APT攻擊已經開始重視國內辦公軟件/系統和安全設備的漏洞利用效果;
· APT攻擊思維從單點釣魚竊取數據向最大化獲取內網控制權限轉化;
· APT的部分攻擊者具備將0day迅速集成武器化并投入使用能力;
· APT或將延續2023年高密度利用新通用漏洞攻擊趨勢,可能涉及到通用辦公軟件/系統、網絡安全產品和重要行業專屬的上游供應鏈產品。
4.3?APT攻擊利用向上游供應鏈攻擊趨勢明顯
在2023年12月,東南亞APT組織疑似利用某云資產作為跳板針對能源供應鏈等單位發起網絡攻擊,2024年使用上游供應鏈攻擊模式攻擊能源、金融、通訊、交通等行業的趨勢會更加明顯。
4.4?APT由傳統定向攻擊延伸至非傳統攻擊
我國深入實施數字經濟發展戰略,不斷完善數字基礎設施,加快培育新業態新模式,推進數字產業化和產業數字化取得積極成效。比如物聯網建設已然成熟且大面積覆蓋,數字政務網已全面推廣,智能交通、智能電控和車聯網已加速推進建設,而對應的網絡安全風險也開始顯現。預測2024年的APT威脅除了在傳統行業的數字政務網、智能交通、智能電控基礎上向高新科技、通信等行業拓展外,還會向非傳統的物聯網與車聯網延伸。
4.5?APT與勒索結合的雙模式加持攻擊
APT&勒索聯合加持或許是后續高級黑產團伙的發展趨勢,2023年5月新出現的高級勒索組織Rhysida就是向APT攻擊模式轉型的典型。據悉,Rhysida團伙11月攻擊了大英圖書館、斯洛文尼亞能源部和國內某企業等,都竊取了大量敏感數據并在暗網售賣。
4.6?數據外泄風險趨勢加劇
在2023年監測到的各專項攻擊中,評估全國數據泄露總量約700G以上,然而這只是發現專項攻擊可能造成的數據泄露量,因為勒索團伙在暗網出售與中國有關的數據量遠不止700G。在數字經濟繼續朝著信息化、數字化、智能化等方向發展的大背景下,數據是經濟發展的重要基石。因此,2024年仍是數字安全大年,也將是境外對國內勒索或勒索&APT結合攻擊的大年,數據外泄風險趨勢將持續加劇,數據防泄漏安全建設任重道遠。
5?對于2024年安全建設方向的建議
結合國內2023年的APT攻擊威脅態勢與2024年安全威脅發展情況,我們建議國內安全建設從前置狩獵、全面感知威脅、前置評估關基資產假想威脅、前置預警、聯防聯控、常態化數據安全威脅監測等方向入手。實現天下大勢,攻就必知,知就必防的攻守易勢,是在建設網絡強國道路上,國家對我們每一個網絡安全守護者的期望,也是每個網絡安全守護者的責任與義務。
來源:安全牛