奇安信發布2021年APT報告 0day漏洞已成為常規武器

3月25日，奇安信威脅情報中心正式發布了《全球高級持續性威脅（APT）2021年度報告》（簡稱《報告》），對過去一年APT活動進行了全面的分析。

《報告》認為，現階段中國依舊是全球APT活動的首要地區性目標，網絡竊密活動與網絡破壞活動持續加劇，經濟與科技領域網絡安全，正在經受著前所未有的巨大考驗。

《報告》顯示，2021年，奇安信威脅情報中心首次使用奇安信威脅雷達對境內的APT攻擊活動進行了全方位遙感測繪，監測到我國范圍內大量IP地址與數十個境外APT組織產生過高危通信。

這表明至少有數十個境外APT組織對國內目標發起過網絡攻擊。北京地區以及廣東、福建、浙江、江蘇等沿海省份作為我國政治中心、經濟發達地區，是境外APT組織進行網絡攻擊的主要目標地區。

從受害行業分布來看，《報告》顯示，基于奇安信威脅雷達遙測數據、客戶側APT事件以及威脅情報告警數據綜合分析，2021年涉及我國政府、衛生醫療部門、高新科技企業的高級威脅事件仍然占主要部分。

另一方面，奇安信威脅情報中心收錄了434篇高級威脅類公開報告，涉及145個已命名的攻擊組織或攻擊行動。數據顯示，在全球2021年披露的APT相關活動報告中，涉及政府（包括外交、政黨、選舉相關）的攻擊事件占比為23%，其次是醫療衛生行業的事件占比為18%、科技占比14%。顯而易見，2020年新冠病毒對網絡攻擊的影響，在2021年仍在延續。

奇安信威脅情報中心進一步分析了攻擊我國的APT組織歸屬情況。《報告》顯示，海蓮花、毒云藤、EICAR、Darkhotel、蔓靈花、魔羅桫等潛伏在我國周邊國家和地區的APT組織疑似控制了境內大部分受控IP地址。海蓮花和毒云藤作為中國的老對手，在2021年依舊保持著超高的活動頻率，對我國網絡安全造成的威脅最大。

尤其是海蓮花組織。

作為國內最早披露的東南亞APT組織，海蓮花在2021年的攻擊頻率達到歷史之最，除了對重點目標進行滲透外，還會對終端管理軟件公司、安全公司、科技公司進行全方位的攻擊，并成功入侵其代碼服務器和開發人員，其目的是修改軟件源代碼從而發起供應鏈打擊，同時還會挖掘政企單位常用軟件的漏洞，這類定制化漏洞極其隱蔽，在排查過程中難以發現。

值得關注的是，《報告》認為，除常規的魚叉、水坑等攻擊方式之外，0day漏洞已然成為APT攻擊活動中的常規武器和各大APT組織的“必爭之地”。

《報告》顯示，2021年以來，0day漏洞攻擊呈爆發趨勢，在野利用的0day/1day漏洞數量超過70個，這在網絡安全歷史上是前所未見的。其不僅體現在漏洞數量多，而且漏洞類型幾乎覆蓋所有壟斷市場份額的系統和產品，包括瀏覽器(Chrome/IE/Safari)、Windows操作系統、Windows Exchange Server、Microsoft Office、Adobe Reader、Apache HTTP Sever、iOS、Android等。

奇安信威脅情報中心分析發現，在野0day漏洞利用的整體趨勢以Windows平臺為基礎，Chrome/Safari瀏覽器為主流向多平臺延伸，內網核心服務域控/Exchange成為新的爆發點，同時隨著iOS，Android生態的不斷完善，相關APT組織針對這些平臺的0day攻擊也逐年以穩定的趨勢增加。

0day漏洞作為APT組織提升攻擊能力的一大武器，不僅成熟的APT組織，包括一些以往不具備0day漏洞挖掘利用能力的組織，如蔓靈花組織，也在通過類似第三方漏洞賣家的渠道擴充自身的0day存儲，追求0day資源，不斷發展自身，不斷更新其攻擊武器和手段，并且這已經成為了APT組織的一大趨勢。

針對愈演愈烈的APT攻擊，《報告》預測，在2022年，APT活動將呈現出如下六大趨勢：

◆疫苗及相關產業將會遭到持續攻擊；

◆針對中國的APT行動將持續加劇且更加隱秘；

◆在野0day漏洞利用持續爆發；

◆瞄準關鍵基礎設施的破壞和攻擊會越發泛濫；

◆針對網絡安全產品的攻擊會受到APT組織更多的青睞；

◆會爆發更多、更嚴重的供應鏈攻擊事件。