3月25日，奇安信威脅情報(bào)中心正式發(fā)布了《全球高級(jí)持續(xù)性威脅（APT）2021年度報(bào)告》（簡(jiǎn)稱《報(bào)告》），對(duì)過(guò)去一年APT活動(dòng)進(jìn)行了全面的分析。《報(bào)告》認(rèn)為，現(xiàn)階段中國(guó)依舊是全球APT活動(dòng)的首要地區(qū)性目標(biāo)，網(wǎng)絡(luò)竊密活動(dòng)與網(wǎng)絡(luò)破壞活動(dòng)持續(xù)加劇，經(jīng)濟(jì)與科技領(lǐng)域網(wǎng)絡(luò)安全，正在經(jīng)受著前所未有的巨大考驗(yàn)。

《報(bào)告》顯示，2021年，奇安信威脅情報(bào)中心首次使用奇安信威脅雷達(dá)對(duì)境內(nèi)的APT攻擊活動(dòng)進(jìn)行了全方位遙感測(cè)繪，監(jiān)測(cè)到我國(guó)范圍內(nèi)大量IP地址與數(shù)十個(gè)境外APT組織產(chǎn)生過(guò)高危通信。這表明至少有數(shù)十個(gè)境外APT組織對(duì)國(guó)內(nèi)目標(biāo)發(fā)起過(guò)網(wǎng)絡(luò)攻擊。北京地區(qū)以及廣東、福建、浙江、江蘇等沿海省份作為我國(guó)政治中心、經(jīng)濟(jì)發(fā)達(dá)地區(qū)，是境外APT組織進(jìn)行網(wǎng)絡(luò)攻擊的主要目標(biāo)地區(qū)。

從受害行業(yè)分布來(lái)看，《報(bào)告》顯示，基于奇安信威脅雷達(dá)遙測(cè)數(shù)據(jù)、客戶側(cè)APT事件以及威脅情報(bào)告警數(shù)據(jù)綜合分析，2021年涉及我國(guó)政府、衛(wèi)生醫(yī)療部門、高新科技企業(yè)的高級(jí)威脅事件仍然占主要部分。

另一方面，奇安信威脅情報(bào)中心收錄了434篇高級(jí)威脅類公開(kāi)報(bào)告，涉及145個(gè)已命名的攻擊組織或攻擊行動(dòng)。數(shù)據(jù)顯示，在全球2021年披露的APT相關(guān)活動(dòng)報(bào)告中，涉及政府（包括外交、政黨、選舉相關(guān)）的攻擊事件占比為23%，其次是醫(yī)療衛(wèi)生行業(yè)的事件占比為18%、科技占比14%。顯而易見(jiàn)，2020年新冠病毒對(duì)網(wǎng)絡(luò)攻擊的影響，在2021年仍在延續(xù)。

奇安信威脅情報(bào)中心進(jìn)一步分析了攻擊我國(guó)的APT組織歸屬情況。《報(bào)告》顯示，海蓮花、毒云藤、EICAR、Darkhotel、蔓靈花、魔羅桫等潛伏在我國(guó)周邊國(guó)家和地區(qū)的APT組織疑似控制了境內(nèi)大部分受控IP地址。海蓮花和毒云藤作為中國(guó)的老對(duì)手，在2021年依舊保持著超高的活動(dòng)頻率，對(duì)我國(guó)網(wǎng)絡(luò)安全造成的威脅最大。

尤其是海蓮花組織。作為國(guó)內(nèi)最早披露的東南亞APT組織，海蓮花在2021年的攻擊頻率達(dá)到歷史之最，除了對(duì)重點(diǎn)目標(biāo)進(jìn)行滲透外，還會(huì)對(duì)終端管理軟件公司、安全公司、科技公司進(jìn)行全方位的攻擊，并成功入侵其代碼服務(wù)器和開(kāi)發(fā)人員，其目的是修改軟件源代碼從而發(fā)起供應(yīng)鏈打擊，同時(shí)還會(huì)挖掘政企單位常用軟件的漏洞，這類定制化漏洞極其隱蔽，在排查過(guò)程中難以發(fā)現(xiàn)。

值得關(guān)注的是，《報(bào)告》認(rèn)為，除常規(guī)的魚(yú)叉、水坑等攻擊方式之外，0day漏洞已然成為APT攻擊活動(dòng)中的常規(guī)武器和各大APT組織的“必爭(zhēng)之地”。

《報(bào)告》顯示，2021年以來(lái)，0day漏洞攻擊呈爆發(fā)趨勢(shì)，在野利用的0day/1day漏洞數(shù)量超過(guò)70個(gè)，這在網(wǎng)絡(luò)安全歷史上是前所未見(jiàn)的。其不僅體現(xiàn)在漏洞數(shù)量多，而且漏洞類型幾乎覆蓋所有壟斷市場(chǎng)份額的系統(tǒng)和產(chǎn)品，包括瀏覽器(Chrome/IE/Safari)、Windows操作系統(tǒng)、Windows Exchange Server、Microsoft Office、Adobe Reader、Apache HTTP Sever、iOS、Android等。

奇安信威脅情報(bào)中心分析發(fā)現(xiàn)，在野0day漏洞利用的整體趨勢(shì)以Windows平臺(tái)為基礎(chǔ)，Chrome/Safari瀏覽器為主流向多平臺(tái)延伸，內(nèi)網(wǎng)核心服務(wù)域控/Exchange成為新的爆發(fā)點(diǎn)，同時(shí)隨著iOS，Android生態(tài)的不斷完善，相關(guān)APT組織針對(duì)這些平臺(tái)的0day攻擊也逐年以穩(wěn)定的趨勢(shì)增加。

0day漏洞作為APT組織提升攻擊能力的一大武器，不僅成熟的APT組織，包括一些以往不具備0day漏洞挖掘利用能力的組織，如蔓靈花組織，也在通過(guò)類似第三方漏洞賣家的渠道擴(kuò)充自身的0day存儲(chǔ)，追求0day資源，不斷發(fā)展自身，不斷更新其攻擊武器和手段，并且這已經(jīng)成為了APT組織的一大趨勢(shì)。

針對(duì)愈演愈烈的APT攻擊，《報(bào)告》預(yù)測(cè)，在2022年，APT活動(dòng)將呈現(xiàn)出如下六大趨勢(shì)：疫苗及相關(guān)產(chǎn)業(yè)將會(huì)遭到持續(xù)攻擊；針對(duì)中國(guó)的APT行動(dòng)將持續(xù)加劇且更加隱秘；在野0day漏洞利用持續(xù)爆發(fā)；瞄準(zhǔn)關(guān)鍵基礎(chǔ)設(shè)施的破壞和攻擊會(huì)越發(fā)泛濫；針對(duì)網(wǎng)絡(luò)安全產(chǎn)品的攻擊會(huì)受到APT組織更多的青睞；會(huì)爆發(fā)更多、更嚴(yán)重的供應(yīng)鏈攻擊事件。

閱讀《報(bào)告》全文可訪問(wèn)：

??https://www.qianxin.com/threat/reportdetail?report_id=150??