《2021年度高級威脅研究報告》 | APT攻擊防范要當心“定制化的釣魚郵件”

近日，綠盟科技伏影實驗室聯合CNCERT網絡安全應急技術國家工程研究中心發布《2021年度高級威脅研究報告》（以下簡稱《報告》）。《報告》不僅總結了APT攻擊技術發展和重點攻擊目標,還分別針對伏影實驗室披露的國內外APT攻擊活動進行了詳細分析，總結了2021年度APT攻擊活動的特征，并根據分析結果提出了預測和防范建議。

APT攻擊防范要當心“定制化的釣魚郵件”

各國家級APT組織的攻擊活動主要圍繞定制化的釣魚郵件展開，最終通過其中的各類惡意附件文件達成攻擊目的。被廣泛使用的惡意附件類型包括文檔、快捷方式文件、html文件等。

 釣魚文檔誘餌攻擊類型

經過多年發展，釣魚文檔相關技術已經成熟，惡意宏、漏洞利用、機制濫用等三類常見攻擊實現途徑。

為了完善上述主流的攻擊方式以及擴展自身攻擊能力，2021年，APT組織引入并落地了多種新型攻擊技術，包括新型0day漏洞、新型社會工程學手法、新型特征隱藏手法等。

新型0day漏洞

2021年初，Lazarus組織在一次攻擊活動中使用了編號為CVE-2021-26411的IE 0day漏洞。在相關攻擊流程中，CVE-2021-26411漏洞解決了shellcode執行、提權、進程駐留等多個方面的問題，使攻擊具備很強的破壞性。情報顯示，該漏洞在被披露后受到了廣泛關注，并被融合至在野利用甚至其他新型APT組織的攻擊活動當中。

新型社會工程學手法

一種基于新媒體運營的目標篩選與釣魚手法被Lazarus組織推廣使用，并被Charming Kitten等其他APT組織借鑒。Lazarus組織攻擊者制作了多個偽造的安全研究者社交賬號并進行持續運營，通過發布所謂的漏洞研究信息吸引關注。隨后，通過一對一的社交互動引誘這些目標接收帶毒文件并運行，實現精準的定向竊密攻擊。

新型特征隱藏手法

一種結合類DGA域名與DNS tunneling的流量隱藏技術，給UNC2452組織的SunBurst木馬提供了完美的反探測能力。這種基于DNS信道的特殊的通信手法成功繞過了所有受害者的檢測防護機制，幫助UNC2452攻擊者實現了長達9個月的供應鏈攻擊活動。

政府部門、衛生防疫機構成為APT重點攻擊目標

目前，國家級APT組織整體上依然以地緣政治上的敵對勢力作為主要攻擊目標，并重點滲透在當前時段內能夠對區域形勢產生巨大影響的機構和設施，這些重點目標包括政府部門、衛生防疫機構和法務部門等。

此外，為滿足不斷增長的攻擊能力需求，APT組織開始攻擊安全研究人員，試圖獲取0day漏洞和滲透工具等，豐富自己的攻擊手段。