近日，國(guó)內(nèi)網(wǎng)絡(luò)信息安全領(lǐng)域領(lǐng)軍企業(yè)安恒信息發(fā)布《2021年度高級(jí)威脅態(tài)勢(shì)研究報(bào)告》（以下簡(jiǎn)稱“報(bào)告”）。根據(jù)對(duì)2021全年攻擊事件的檢測(cè)和分析，報(bào)告基于高級(jí)威脅攻擊、攻擊團(tuán)伙活動(dòng)、重大攻擊事件、在野0day利用情況四方面進(jìn)行分析總結(jié)，并提供了對(duì)2022攻擊態(tài)勢(shì)的七點(diǎn)研判預(yù)測(cè)。

（報(bào)告出品方：安恒威脅情報(bào)中心、獵影實(shí)驗(yàn)室）

主要結(jié)論：

安恒威脅情報(bào)中心研究分析了2021年全球發(fā)現(xiàn)和披露的高級(jí)威脅事件、灰黑產(chǎn)行業(yè)的主要團(tuán)伙以及2021 在野0day的披露情況，得到了以下發(fā)現(xiàn)：

 1.根據(jù)2021年對(duì)全球高級(jí)威脅攻擊事件的統(tǒng)計(jì)，來(lái)自東亞地區(qū)的Lazarus組織、Kimsuky組織以及來(lái) 自東歐的APT29組織的攻擊數(shù)量位列前三，這幾個(gè)組織的攻擊受地緣政治因素影響，體現(xiàn)出高度針對(duì)性和復(fù) 雜性。此外，來(lái)自印度Bitter組織的攻擊事件占比排名第七，該組織在2021年多次針對(duì)我國(guó)軍工行業(yè)發(fā)起定 向攻擊。 

2.從受害者的國(guó)家分布分析，韓國(guó)、美國(guó)遭到的攻擊占比最高，比重分別為11.67%、10.55%。APT組 織正嘗試擴(kuò)大攻擊范圍，因此出現(xiàn)了一些新的受害國(guó)家。從受害者的行業(yè)分布來(lái)看，與2020年相同，政府部 門、國(guó)防部門和金融行業(yè)仍是APT組織的主要攻擊目標(biāo)，總占比達(dá)到27.59%。 

3.根據(jù)地域分布的APT組織活動(dòng)具有以下特點(diǎn)：南亞地區(qū)的APT組織2021年整體處于較為活躍的狀 態(tài)，且主要圍繞著地緣政治沖突展開(kāi)；越南國(guó)家背景的海蓮花組織是東南亞地區(qū)最主要的APT威脅；東亞地 區(qū)的APT組織數(shù)量較多，其中朝鮮背景的Lazarus和Kimsuky組織最為活躍；中東地區(qū)APT組織主要針對(duì) 政府、國(guó)防、學(xué)術(shù)等行業(yè)；東歐地區(qū)APT 組織的攻擊活動(dòng)主要以中東、歐洲以及北美地區(qū)作為主要目標(biāo)。 

4.2021年，灰黑產(chǎn)行業(yè)高速發(fā)展，其中以勒索軟件團(tuán)伙和間諜軟件供應(yīng)商最為突出。上半年發(fā)生多起針 對(duì)關(guān)鍵基礎(chǔ)設(shè)施的勒索攻擊，給全球?qū)嶓w造成了巨大的經(jīng)濟(jì)損失。此外，間諜軟件攻擊體現(xiàn)出高復(fù)雜性、難追 溯性等特點(diǎn)，成為當(dāng)今最危險(xiǎn)的網(wǎng)絡(luò)威脅之一。 

5.2021年披露的在野0day數(shù)量達(dá)到58個(gè)。按漏洞類型劃分，占比最多的是遠(yuǎn)程代碼執(zhí)行漏洞，其次是 權(quán)限提升漏洞，分別占比57%和35%。 

基于2021網(wǎng)絡(luò)態(tài)勢(shì)的特點(diǎn)，報(bào)告得出對(duì)于2022攻擊態(tài)勢(shì)的預(yù)測(cè)：

• 由于醫(yī)學(xué)研究和工業(yè)部門為國(guó)家發(fā)展的基礎(chǔ)部門，且具有高價(jià)值情報(bào)，因此將成為攻擊組織的重點(diǎn)目標(biāo)；

• APT組織和勒索團(tuán)伙正積極發(fā)展供應(yīng)鏈攻擊能力，因此預(yù)計(jì)軟件供應(yīng)鏈攻擊也將在2022年變得更頻繁、更具破壞性；

• 此外，隨著數(shù)據(jù)泄露事件頻繁出現(xiàn)，攻擊者將利用獲取的敏感信息進(jìn)一步發(fā)起更具針對(duì)性的攻擊。

重點(diǎn)內(nèi)容摘?。?/strong>

高級(jí)威脅篇

APT組織整體攻擊情況：

報(bào)告指出，根據(jù)威脅情報(bào)中心的監(jiān)測(cè)情況來(lái)看，2021年發(fā)生了約201起APT攻擊事件。從披露報(bào)告的統(tǒng)計(jì)來(lái)看，今年APT組織活動(dòng)主要集中在南亞和中東，其次是東亞地區(qū)，東南亞地區(qū)的APT組織攻擊有所放緩。另外，來(lái)自東歐的APT29組織今年非?；钴S，該組織有著是俄羅斯國(guó)家背景，同時(shí)被美國(guó)白宮認(rèn)為是SolarWinds攻擊事件的始作俑者，自事件發(fā)生后該組織仍在活躍，并持續(xù)針對(duì)各行業(yè)進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)。

根據(jù)攻擊事件中的受害地區(qū)分布來(lái)看，出現(xiàn)了一些新的受害地區(qū)，例如阿富汗、哥倫比亞、格魯吉亞、拉脫維亞等國(guó)家。這可能表示APT組織正嘗試擴(kuò)大其活動(dòng)范圍。

根據(jù)行業(yè)分布來(lái)看，政府部門和國(guó)防部門仍是其主要的針對(duì)目標(biāo)，其次是金融、航空，以及醫(yī)療衛(wèi)生部門。

地域組織攻擊活動(dòng)情況：

報(bào)告認(rèn)為，東南亞地區(qū)的APT活動(dòng)在今年有所減少。而東亞地區(qū)的APT活動(dòng)在今年持續(xù)活躍，尤其是Lazarus組織，該組織除了常規(guī)的間諜活動(dòng)外，還針對(duì)加密貨幣交易所及安全研究人員進(jìn)行定向攻擊。中東地區(qū)由于其復(fù)雜的地緣政治問(wèn)題，該地區(qū)的APT活動(dòng)一直處于活躍狀態(tài)，在阿富汗國(guó)家被塔利班占領(lǐng)后，該地區(qū)的APT活動(dòng)有所增加。中東地區(qū)的間諜活動(dòng)所使用的有效負(fù)載也從之前的Windows客戶端慢慢過(guò)渡到Android移動(dòng)端，其披露的很大部分攻擊都是來(lái)自移動(dòng)平臺(tái)。南亞地區(qū)在APT攻擊中所使用的誘餌文件通常與新冠疫情相關(guān)，這可能與南亞部分地區(qū)嚴(yán)重感染新冠疫情有關(guān)，該地區(qū)的APT活動(dòng)比較明顯的變化是其背后支持者對(duì)間諜活動(dòng)加大資源投入，使其攻擊能力得到明顯提升，其中一個(gè)例子就是Bitter組織配備0day漏洞。東歐地區(qū)的間諜活動(dòng)主要聚焦在APT29，該組織是SolarWinds事件的幕后黑手，即使被美國(guó)制裁后該組織仍處于高度活躍狀態(tài)，并在后續(xù)進(jìn)行了多起攻擊事件。

攻擊團(tuán)伙活動(dòng)篇

報(bào)告指出，灰黑產(chǎn)行業(yè)在2021年飛速發(fā)展，一些網(wǎng)絡(luò)犯罪團(tuán)伙甚至表現(xiàn)出APT組織的攻擊能力，其中以勒索軟件組織和間諜軟件供應(yīng)商最為突出。以Colonial Pipeline攻擊事件為例，針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的勒索攻擊會(huì)給全球?qū)嶓w造成巨大影響，大型勒索軟件團(tuán)伙的實(shí)力不容小覷。另外，間諜軟件也是在2021年引起高度關(guān)注的威脅，其具有高復(fù)雜性、難追溯性等特點(diǎn)。商業(yè)間諜軟件行業(yè)能夠提供豐厚的利潤(rùn)回報(bào)，因此間諜軟件服務(wù)逐漸成為復(fù)雜、國(guó)際化、具有巨大潛在威脅的產(chǎn)業(yè)。2021年披露了多起間諜軟件攻擊事件，引發(fā)了各界強(qiáng)烈的恐慌。

勒索軟件團(tuán)伙：

2021年發(fā)生了約2000多起勒索軟件攻擊事件，攻擊者的活動(dòng)主要集中在上半年，下半年披露的勒索事件數(shù)量有所放緩，這可能與5月份美國(guó)管道勒索事件有關(guān)，自該事件發(fā)生以來(lái)，各國(guó)政府就擬定多種政策，打擊以勒索軟件為主的網(wǎng)絡(luò)犯罪活動(dòng)，一些勒索團(tuán)伙因擔(dān)心被執(zhí)法部門逮捕而宣布解散退出，其中包括Avaddon、BABUK、DarkSide、REvil和BlackMatter。勒索團(tuán)伙宣布解散很可能是一種策略，以分散執(zhí)行人員的注意力或逃避經(jīng)濟(jì)制裁，這些組織的成員通常會(huì)在解散后再次重組，并以新的名稱、新的目標(biāo)、新的勒索規(guī)則完成品牌重塑，并繼續(xù)進(jìn)行勒索攻擊活動(dòng)。例如DarkSide在解散后重組成BlackMatter，在DarkSide美國(guó)管道事件后的不久，該組織就宣布解散，但一個(gè)月后，就出現(xiàn)了名為BlackMatter的新勒索組織，研究人員發(fā)現(xiàn)BlackMatter與DarkSide在攻擊中使用的是相同的特殊加密方法，雖然不能完全確認(rèn)BlackMatter是DarkSide的品牌重塑，但BlackMatter組織的部分成員很可能來(lái)自DarkSide。11月份，BlackMatter組織因執(zhí)法壓力宣布解散，但不排除未來(lái)該組織會(huì)以新的品牌重塑再次卷土重來(lái)。

報(bào)告給出了過(guò)去幾年勒索軟件組織品牌重塑的大致時(shí)間線：

間諜軟件供應(yīng)商：

商業(yè)間諜軟件是當(dāng)今最危險(xiǎn)的網(wǎng)絡(luò)威脅之一，據(jù)估計(jì)，全球的商業(yè)間諜軟件行業(yè)每年利潤(rùn)約增長(zhǎng)20%，豐厚的利潤(rùn)回報(bào)將助長(zhǎng)行業(yè)發(fā)展，并促使更多的供應(yīng)商誕生。間諜軟件供應(yīng)商都遵循低調(diào)、保密的處事方式，還存在很多尚未被曝光的供應(yīng)商，本篇報(bào)告重點(diǎn)介紹了三個(gè)提供間諜軟件服務(wù)或監(jiān)視產(chǎn)品的間諜軟件供應(yīng)商：NSO Group、Candiru以及Cytrox。

新披露組織：

此外，今年披露了一些新的黑客組織，包括雇傭黑客組織Void Balaur、針對(duì)中東地區(qū)的Agrius組織以及以打擊以色列猶太復(fù)國(guó)主義政權(quán)為目標(biāo)的Moses Staff組織，本篇報(bào)告也詳細(xì)介紹了這三個(gè)新型攻擊團(tuán)伙。

2021年重大網(wǎng)絡(luò)攻擊事件回顧

2021年，網(wǎng)絡(luò)攻擊的速度和規(guī)模以驚人的速度發(fā)展，從針對(duì)個(gè)人的社會(huì)工程攻擊到針對(duì)基礎(chǔ)設(shè)施的勒索攻擊，網(wǎng)絡(luò)攻擊對(duì)個(gè)人、企業(yè)和政府都構(gòu)成了重大威脅。回顧2021，報(bào)告整理了6件重大攻擊事件，并提供了相應(yīng)的分析研判，其中包括：Solarwinds軟件供應(yīng)鏈攻擊事件、黑客入侵佛羅里達(dá)水廠系統(tǒng)投毒事件、DarkSide組織攻擊美國(guó)輸油管道運(yùn)營(yíng)商事件、Revil組織利用Kaseya產(chǎn)品漏洞發(fā)起大規(guī)模供應(yīng)鏈勒索攻擊、Lazarus組織持續(xù)針對(duì)安全研究人員、Log4j漏洞事件。

2021在野0day總結(jié)

根據(jù)安恒威脅情報(bào)中心的統(tǒng)計(jì)，2021年全年一共披露主流廠商的在野0day58個(gè)。其中CVE-2021-1732和CVE-2021-33739兩個(gè)在野0day由安恒威脅情報(bào)中心捕獲并披露。從2018年到2021年披露的在野0day的數(shù)量趨勢(shì)圖來(lái)看，近年來(lái)在野0day數(shù)量逐年增多，2021年這一趨勢(shì)最為明顯，2021全年披露的在野0day數(shù)量超過(guò)了2020年的兩倍。

從在野0day涉及廠商的分布情況來(lái)看，2021年被披露在野0day最多的廠商是微軟，其次是谷歌和蘋(píng)果。

此外，報(bào)告還梳理了2021年在野0day和具體使用組織的關(guān)聯(lián)情況：

重點(diǎn)事件：

在2021年披露的58個(gè)在野0day中，報(bào)告梳理了若干最值得關(guān)注的漏洞及8個(gè)與之相關(guān)聯(lián)的重點(diǎn)事件。其中包括：蔓靈花組織首次使用0day、朝鮮APT組織使用社會(huì)工程學(xué)和瀏覽器0day攻擊安全研究人員、多個(gè)Exchange 0day橫空出世、Chrome 0day數(shù)量連續(xù)第二年大幅增加、Windows提權(quán)0day數(shù)量較往年翻倍、蘋(píng)果產(chǎn)品的0day數(shù)量爆發(fā)式增長(zhǎng)、IE 0day數(shù)量依然較多，與Office結(jié)合更為深入、AdobeReader 0day重現(xiàn)江湖。

2022年在野0day趨勢(shì)預(yù)測(cè)：

在總結(jié)了2021年的在野0day后，報(bào)告對(duì)2022年在野0day趨勢(shì)做如下預(yù)測(cè)：

• Chrome瀏覽器的0day攻擊仍會(huì)持續(xù)出現(xiàn)

• Windows提權(quán)0day會(huì)伴隨Chrome 0day或AdobeReader 0day一起出現(xiàn)，而且非win32k漏洞占比會(huì)較高

• Exchange 0day在2022年會(huì)有很大概率繼續(xù)被用于攻擊

• 針對(duì)Safari瀏覽器的0day攻擊和針對(duì)iOS、MacOS的提權(quán)0day攻擊會(huì)繼續(xù)出現(xiàn)

• 針對(duì)iOS等移動(dòng)設(shè)備的零點(diǎn)擊漏洞可能還會(huì)出現(xiàn)，但由于其技術(shù)壁壘極高以及使用成本高昂，即使被披露也只可能有零星案例

• DarkHotel組織有較大概率在2022年上半年繼續(xù)使用新的IE 0day進(jìn)行攻擊

• 朝鮮APT組織有很大可能會(huì)繼續(xù)結(jié)合社會(huì)工程學(xué)對(duì)安全研究人員進(jìn)行攻擊，且有較大可能會(huì)配合0day漏洞一起進(jìn)行攻擊

2022年攻擊態(tài)勢(shì)研判預(yù)測(cè)

基于對(duì)2021年高級(jí)威脅攻擊、攻擊團(tuán)伙活動(dòng)、重大攻擊事件、在野漏洞利用情況的分析，報(bào)告得出對(duì)2022攻擊態(tài)勢(shì)的七點(diǎn)研判預(yù)測(cè)，包括2022年易受攻擊的行業(yè)、流行的攻擊手法、攻擊特點(diǎn)等。

• 醫(yī)學(xué)研究將持續(xù)成為威脅攻擊者的目標(biāo)

• ICS工業(yè)環(huán)境面臨的威脅將持續(xù)增長(zhǎng)

• 可能會(huì)出現(xiàn)更多的軟件供應(yīng)鏈攻擊

• 雇傭間諜軟件服務(wù)將更加流行

• 垃圾郵件活動(dòng)將更具針對(duì)性

• 勒索軟件將繼續(xù)主導(dǎo)威脅格局

• 針對(duì)移動(dòng)設(shè)備的攻擊或會(huì)增加

*** 溫馨提示：點(diǎn)擊此處即可下載報(bào)告全文（請(qǐng)?jiān)谖⑿哦舜蜷_(kāi)鏈接）***

注：本文圖片均來(lái)源于報(bào)告