近日，國內(nèi)網(wǎng)絡信息安全領域領軍企業(yè)安恒信息發(fā)布《2021年度高級威脅態(tài)勢研究報告》（以下簡稱“報告”）。根據(jù)對2021全年攻擊事件的檢測和分析，報告基于高級威脅攻擊、攻擊團伙活動、重大攻擊事件、在野0day利用情況四方面進行分析總結(jié)，并提供了對2022攻擊態(tài)勢的七點研判預測。

（報告出品方：安恒威脅情報中心、獵影實驗室）

主要結(jié)論：

安恒威脅情報中心研究分析了2021年全球發(fā)現(xiàn)和披露的高級威脅事件、灰黑產(chǎn)行業(yè)的主要團伙以及2021 在野0day的披露情況，得到了以下發(fā)現(xiàn)：

 1.根據(jù)2021年對全球高級威脅攻擊事件的統(tǒng)計，來自東亞地區(qū)的Lazarus組織、Kimsuky組織以及來 自東歐的APT29組織的攻擊數(shù)量位列前三，這幾個組織的攻擊受地緣政治因素影響，體現(xiàn)出高度針對性和復 雜性。此外，來自印度Bitter組織的攻擊事件占比排名第七，該組織在2021年多次針對我國軍工行業(yè)發(fā)起定 向攻擊。 

2.從受害者的國家分布分析，韓國、美國遭到的攻擊占比最高，比重分別為11.67%、10.55%。APT組 織正嘗試擴大攻擊范圍，因此出現(xiàn)了一些新的受害國家。從受害者的行業(yè)分布來看，與2020年相同，政府部 門、國防部門和金融行業(yè)仍是APT組織的主要攻擊目標，總占比達到27.59%。 

3.根據(jù)地域分布的APT組織活動具有以下特點：南亞地區(qū)的APT組織2021年整體處于較為活躍的狀 態(tài)，且主要圍繞著地緣政治沖突展開；越南國家背景的海蓮花組織是東南亞地區(qū)最主要的APT威脅；東亞地 區(qū)的APT組織數(shù)量較多，其中朝鮮背景的Lazarus和Kimsuky組織最為活躍；中東地區(qū)APT組織主要針對 政府、國防、學術等行業(yè)；東歐地區(qū)APT 組織的攻擊活動主要以中東、歐洲以及北美地區(qū)作為主要目標。 

4.2021年，灰黑產(chǎn)行業(yè)高速發(fā)展，其中以勒索軟件團伙和間諜軟件供應商最為突出。上半年發(fā)生多起針 對關鍵基礎設施的勒索攻擊，給全球?qū)嶓w造成了巨大的經(jīng)濟損失。此外，間諜軟件攻擊體現(xiàn)出高復雜性、難追 溯性等特點，成為當今最危險的網(wǎng)絡威脅之一。 

5.2021年披露的在野0day數(shù)量達到58個。按漏洞類型劃分，占比最多的是遠程代碼執(zhí)行漏洞，其次是 權(quán)限提升漏洞，分別占比57%和35%。 

基于2021網(wǎng)絡態(tài)勢的特點，報告得出對于2022攻擊態(tài)勢的預測：

• 由于醫(yī)學研究和工業(yè)部門為國家發(fā)展的基礎部門，且具有高價值情報，因此將成為攻擊組織的重點目標；

• APT組織和勒索團伙正積極發(fā)展供應鏈攻擊能力，因此預計軟件供應鏈攻擊也將在2022年變得更頻繁、更具破壞性；

• 此外，隨著數(shù)據(jù)泄露事件頻繁出現(xiàn)，攻擊者將利用獲取的敏感信息進一步發(fā)起更具針對性的攻擊。

重點內(nèi)容摘?。?/strong>

高級威脅篇

APT組織整體攻擊情況：

報告指出，根據(jù)威脅情報中心的監(jiān)測情況來看，2021年發(fā)生了約201起APT攻擊事件。從披露報告的統(tǒng)計來看，今年APT組織活動主要集中在南亞和中東，其次是東亞地區(qū)，東南亞地區(qū)的APT組織攻擊有所放緩。另外，來自東歐的APT29組織今年非?；钴S，該組織有著是俄羅斯國家背景，同時被美國白宮認為是SolarWinds攻擊事件的始作俑者，自事件發(fā)生后該組織仍在活躍，并持續(xù)針對各行業(yè)進行網(wǎng)絡間諜活動。

根據(jù)攻擊事件中的受害地區(qū)分布來看，出現(xiàn)了一些新的受害地區(qū)，例如阿富汗、哥倫比亞、格魯吉亞、拉脫維亞等國家。這可能表示APT組織正嘗試擴大其活動范圍。

根據(jù)行業(yè)分布來看，政府部門和國防部門仍是其主要的針對目標，其次是金融、航空，以及醫(yī)療衛(wèi)生部門。

地域組織攻擊活動情況：

報告認為，東南亞地區(qū)的APT活動在今年有所減少。而東亞地區(qū)的APT活動在今年持續(xù)活躍，尤其是Lazarus組織，該組織除了常規(guī)的間諜活動外，還針對加密貨幣交易所及安全研究人員進行定向攻擊。中東地區(qū)由于其復雜的地緣政治問題，該地區(qū)的APT活動一直處于活躍狀態(tài)，在阿富汗國家被塔利班占領后，該地區(qū)的APT活動有所增加。中東地區(qū)的間諜活動所使用的有效負載也從之前的Windows客戶端慢慢過渡到Android移動端，其披露的很大部分攻擊都是來自移動平臺。南亞地區(qū)在APT攻擊中所使用的誘餌文件通常與新冠疫情相關，這可能與南亞部分地區(qū)嚴重感染新冠疫情有關，該地區(qū)的APT活動比較明顯的變化是其背后支持者對間諜活動加大資源投入，使其攻擊能力得到明顯提升，其中一個例子就是Bitter組織配備0day漏洞。東歐地區(qū)的間諜活動主要聚焦在APT29，該組織是SolarWinds事件的幕后黑手，即使被美國制裁后該組織仍處于高度活躍狀態(tài)，并在后續(xù)進行了多起攻擊事件。

攻擊團伙活動篇

報告指出，灰黑產(chǎn)行業(yè)在2021年飛速發(fā)展，一些網(wǎng)絡犯罪團伙甚至表現(xiàn)出APT組織的攻擊能力，其中以勒索軟件組織和間諜軟件供應商最為突出。以Colonial Pipeline攻擊事件為例，針對關鍵基礎設施的勒索攻擊會給全球?qū)嶓w造成巨大影響，大型勒索軟件團伙的實力不容小覷。另外，間諜軟件也是在2021年引起高度關注的威脅，其具有高復雜性、難追溯性等特點。商業(yè)間諜軟件行業(yè)能夠提供豐厚的利潤回報，因此間諜軟件服務逐漸成為復雜、國際化、具有巨大潛在威脅的產(chǎn)業(yè)。2021年披露了多起間諜軟件攻擊事件，引發(fā)了各界強烈的恐慌。

勒索軟件團伙：

2021年發(fā)生了約2000多起勒索軟件攻擊事件，攻擊者的活動主要集中在上半年，下半年披露的勒索事件數(shù)量有所放緩，這可能與5月份美國管道勒索事件有關，自該事件發(fā)生以來，各國政府就擬定多種政策，打擊以勒索軟件為主的網(wǎng)絡犯罪活動，一些勒索團伙因擔心被執(zhí)法部門逮捕而宣布解散退出，其中包括Avaddon、BABUK、DarkSide、REvil和BlackMatter。勒索團伙宣布解散很可能是一種策略，以分散執(zhí)行人員的注意力或逃避經(jīng)濟制裁，這些組織的成員通常會在解散后再次重組，并以新的名稱、新的目標、新的勒索規(guī)則完成品牌重塑，并繼續(xù)進行勒索攻擊活動。例如DarkSide在解散后重組成BlackMatter，在DarkSide美國管道事件后的不久，該組織就宣布解散，但一個月后，就出現(xiàn)了名為BlackMatter的新勒索組織，研究人員發(fā)現(xiàn)BlackMatter與DarkSide在攻擊中使用的是相同的特殊加密方法，雖然不能完全確認BlackMatter是DarkSide的品牌重塑，但BlackMatter組織的部分成員很可能來自DarkSide。11月份，BlackMatter組織因執(zhí)法壓力宣布解散，但不排除未來該組織會以新的品牌重塑再次卷土重來。

報告給出了過去幾年勒索軟件組織品牌重塑的大致時間線：

間諜軟件供應商：

商業(yè)間諜軟件是當今最危險的網(wǎng)絡威脅之一，據(jù)估計，全球的商業(yè)間諜軟件行業(yè)每年利潤約增長20%，豐厚的利潤回報將助長行業(yè)發(fā)展，并促使更多的供應商誕生。間諜軟件供應商都遵循低調(diào)、保密的處事方式，還存在很多尚未被曝光的供應商，本篇報告重點介紹了三個提供間諜軟件服務或監(jiān)視產(chǎn)品的間諜軟件供應商：NSO Group、Candiru以及Cytrox。

新披露組織：

此外，今年披露了一些新的黑客組織，包括雇傭黑客組織Void Balaur、針對中東地區(qū)的Agrius組織以及以打擊以色列猶太復國主義政權(quán)為目標的Moses Staff組織，本篇報告也詳細介紹了這三個新型攻擊團伙。

2021年重大網(wǎng)絡攻擊事件回顧

2021年，網(wǎng)絡攻擊的速度和規(guī)模以驚人的速度發(fā)展，從針對個人的社會工程攻擊到針對基礎設施的勒索攻擊，網(wǎng)絡攻擊對個人、企業(yè)和政府都構(gòu)成了重大威脅?；仡?021，報告整理了6件重大攻擊事件，并提供了相應的分析研判，其中包括：Solarwinds軟件供應鏈攻擊事件、黑客入侵佛羅里達水廠系統(tǒng)投毒事件、DarkSide組織攻擊美國輸油管道運營商事件、Revil組織利用Kaseya產(chǎn)品漏洞發(fā)起大規(guī)模供應鏈勒索攻擊、Lazarus組織持續(xù)針對安全研究人員、Log4j漏洞事件。

2021在野0day總結(jié)

根據(jù)安恒威脅情報中心的統(tǒng)計，2021年全年一共披露主流廠商的在野0day58個。其中CVE-2021-1732和CVE-2021-33739兩個在野0day由安恒威脅情報中心捕獲并披露。從2018年到2021年披露的在野0day的數(shù)量趨勢圖來看，近年來在野0day數(shù)量逐年增多，2021年這一趨勢最為明顯，2021全年披露的在野0day數(shù)量超過了2020年的兩倍。

從在野0day涉及廠商的分布情況來看，2021年被披露在野0day最多的廠商是微軟，其次是谷歌和蘋果。

此外，報告還梳理了2021年在野0day和具體使用組織的關聯(lián)情況：

重點事件：

在2021年披露的58個在野0day中，報告梳理了若干最值得關注的漏洞及8個與之相關聯(lián)的重點事件。其中包括：蔓靈花組織首次使用0day、朝鮮APT組織使用社會工程學和瀏覽器0day攻擊安全研究人員、多個Exchange 0day橫空出世、Chrome 0day數(shù)量連續(xù)第二年大幅增加、Windows提權(quán)0day數(shù)量較往年翻倍、蘋果產(chǎn)品的0day數(shù)量爆發(fā)式增長、IE 0day數(shù)量依然較多，與Office結(jié)合更為深入、AdobeReader 0day重現(xiàn)江湖。

2022年在野0day趨勢預測：

在總結(jié)了2021年的在野0day后，報告對2022年在野0day趨勢做如下預測：

• Chrome瀏覽器的0day攻擊仍會持續(xù)出現(xiàn)

• Windows提權(quán)0day會伴隨Chrome 0day或AdobeReader 0day一起出現(xiàn)，而且非win32k漏洞占比會較高

• Exchange 0day在2022年會有很大概率繼續(xù)被用于攻擊

• 針對Safari瀏覽器的0day攻擊和針對iOS、MacOS的提權(quán)0day攻擊會繼續(xù)出現(xiàn)

• 針對iOS等移動設備的零點擊漏洞可能還會出現(xiàn)，但由于其技術壁壘極高以及使用成本高昂，即使被披露也只可能有零星案例

• DarkHotel組織有較大概率在2022年上半年繼續(xù)使用新的IE 0day進行攻擊

• 朝鮮APT組織有很大可能會繼續(xù)結(jié)合社會工程學對安全研究人員進行攻擊，且有較大可能會配合0day漏洞一起進行攻擊

2022年攻擊態(tài)勢研判預測

基于對2021年高級威脅攻擊、攻擊團伙活動、重大攻擊事件、在野漏洞利用情況的分析，報告得出對2022攻擊態(tài)勢的七點研判預測，包括2022年易受攻擊的行業(yè)、流行的攻擊手法、攻擊特點等。

• 醫(yī)學研究將持續(xù)成為威脅攻擊者的目標

• ICS工業(yè)環(huán)境面臨的威脅將持續(xù)增長

• 可能會出現(xiàn)更多的軟件供應鏈攻擊

• 雇傭間諜軟件服務將更加流行

• 垃圾郵件活動將更具針對性

• 勒索軟件將繼續(xù)主導威脅格局

• 針對移動設備的攻擊或會增加

*** 溫馨提示：點擊此處即可下載報告全文（請在微信端打開鏈接）***

注：本文圖片均來源于報告