2020年，以“COVID-19”疫情為主題的魚叉攻擊已成為APT組織的慣用手法， 遠程辦公成為APT攻擊的“眾矢之的”……

2020年，亞洲是APT攻擊最活躍的地區(qū)，另外中東與東歐也相對頻繁。由此可見，APT攻擊更“青睞”于局勢敏感以及動蕩的地區(qū)……

2020年，APT即服務快速發(fā)展，雇傭組織在基于經濟利益的基礎上會對外提供攻擊服務……

據(jù)深信服千里目安全實驗室發(fā)布的《2020年網絡安全態(tài)勢洞察報告》（以下簡稱報告），2020年，APT通過社會工程學，借“COVID-19”上位，并呈現(xiàn)出許多新的特點和發(fā)展趨勢。

APT攻擊區(qū)域性特征依舊明顯，雇傭組織提供APT服務成趨勢

據(jù)《報告》顯示，2020年，APT組織區(qū)域性特征依舊明顯，主要活躍在東亞、東南亞、南亞、東歐等局勢敏感以及動蕩的地區(qū)。

東亞地區(qū)是APT組織的首選目標，活躍在東亞地區(qū)的Lazarus以及DarkHotel 更是 APT組織中的頂級組織。

東南亞地區(qū)比較活躍的APT組織為OceanLotus，也叫做海蓮花組織，2020年其主要對周圍地區(qū)相關國家以及本國海內外異見人士進行攻擊與信息監(jiān)聽，今年其最大的變化是在攻擊行動中進行虛擬數(shù)字貨幣挖礦活動。

南亞地區(qū)的相關APT組織在2020年對中國發(fā)起的攻擊是最為活躍，其中包括了BITTER、摩訶草、Confucius、SideWinder等。

東歐地區(qū)的APT組織攻擊活動主要以中東、歐洲以及北美地區(qū)作為主要目標，2020年東歐地區(qū)相對比較活躍的組織有Gamaredon、APT28以及APT29（WellMess）組織，其中WellMess涉及國內相關攻擊活動。

目前，APT攻擊可以認為是最先進的網絡攻擊形式，是當前網絡安全防護的重點。除傳統(tǒng)傳統(tǒng)上出于政治或經濟動機的老練攻擊者攻擊外，國內外安全廠商陸續(xù)披露了多個“雇傭黑客”組織的攻擊行為。

以2020年被披露的雇傭黑客組織DeathStalker為例，該組織主要針對從事金融業(yè)或金融業(yè)合作的實體，包括法律辦事處、財富咨詢公司和金融技術公司，其對我國也發(fā)起過相關攻擊行動。

雇傭黑客組織使用的戰(zhàn)術、技術和程序上已經達到了國家級的水平，其會向出價最高的人提供網絡間諜服務，這可能是未來高級威脅攻擊的新趨勢，即APT即服務。

除了區(qū)域特征明顯，APT攻擊發(fā)展還有三大顯著特征

《報告》指出，從APT整體活動來看，未來，局勢敏感以及動蕩的地區(qū)相關的APT攻擊活動會更加頻繁，未來地緣政治仍然是APT威脅組織的重要目標，此外，APT攻擊發(fā)展還有三大顯著特征：

【特征1】漏洞開發(fā)與0day網絡軍火商興起

漏洞是APT武器庫中不可缺失的資產之一，包括但不限于系統(tǒng)漏洞、應用漏洞（如IE、Firefox、Exchange）、網絡基礎設施（路由器、網絡邊界產品）漏洞，該漏洞庫的強大與否取決于APT組織等級。一般性的APT組織會搜集與整理歷史漏洞，并且涉及平臺少；國家級APT組織在歷史漏洞基礎上還會進行0day漏洞挖掘與利用開發(fā)。

頂級APT組織會繼續(xù)挖掘漏洞與開發(fā)相關利用工具；而不具有漏洞挖掘的組織可以通過0day網絡軍火商購買相關的漏洞利用工具。

【特征2】利用入口設備與管理軟件

利用虛擬網絡進行攻擊在很早就已經存在了，因為疫情期間居家辦公以及遠程辦公增多，更多的企業(yè)依賴虛擬網絡開展業(yè)務。2020年國內外已經出現(xiàn)了多起虛擬網絡漏洞攻擊事件、網絡邊界設備漏洞攻擊事件。

在2020年底時，美國NSA披露俄羅斯相關APT組織正在利用VMware漏洞進行攻擊活動。

未來，APT組織更多聚焦在這類設備與軟件，深入分析該類設備以及軟件，挖掘其中的安全漏洞，實現(xiàn)以點擊面的攻擊效果，甚至達到供應鏈攻擊的效果。

【特征3】多平臺攻擊一體化

除了傳統(tǒng)的Windows、Linux以及MAC OS系統(tǒng)平臺，越來越多的APT組織已經在移動端進行監(jiān)控布局與攻擊。在2020年，多個APT組織在移動端的攻擊事件不斷被披露，例如BITTER、OceanLotus、Patchwork、SideWinder、Donot等組織。

并且伴隨著物聯(lián)網以及5G技術的逐漸發(fā)展與完善，APT組織同樣會對該類平臺研究相關的攻擊能力。除了新增其他平臺的攻擊能力之外，多平臺攻擊一體化同樣也是未來的趨勢之一，例如Lazarus組織的三平臺一體化攻擊框架MATA。

此外，《報告》還指出，當前網絡黑產活動專業(yè)化、自動化程度不斷提升，技術對抗越發(fā)激烈，已逐漸呈現(xiàn)出與APT類似的攻擊特征，兩者之間的技術差異也逐漸模糊，隨著網絡安全形勢的發(fā)展，大家在關注APT攻擊的同時，也應該對網絡黑產活動予以足夠的重視。

完整報告可前往深信服官網首頁下載