2023年以来,我们见证了全球政治经济形势的剧烈变化,也目睹了网络安全形势的空前复杂和严峻。
目前,APT攻击已经发展成网络空间中社会影响最广、防御难度最高的“暗流”,让企业和个人都站在了危险的风口浪尖。
深信服千里目安全技术中心深瞻情报实验室(简称“深瞻情报实验室”)在《2023年APT趋势洞察报告》中,揭示了APT攻击的新特点和趋势。
报告通过对2023年全球范围内的多个 APT 组织和网络犯罪团伙进行长期深入分析,发现 APT 组织攻击手段在持续迭代升级,攻击图景正在不断扩张,组织结构也在不断分化重组,同时从漏洞利用、攻击技巧、攻击事件、全球APT组织及APT攻击防御视角五个视角展开了全面分析。
- 报告共 76 页,文末点击按钮可免费获取 -
0day 漏洞数量达历史新高 移动端成APT组织新目标
深瞻情报实验室监测到,2023年在野0day漏洞数量达到了历史最高值,共有53个,其中移动端漏洞比例大幅增加,但 PC 端漏洞比重仍然位居第一。攻击者的目光开始转向移动端,个人和企业将更直接地面向复杂危险的网络恶意活动。
想想看,你的手机、平板这些天天不离身的设备,也成了APT组织的攻击目标,细思极恐!
被监测到的漏洞类型涉及浏览器漏洞、Win/Linux/iOS 等操作系统漏洞、网络设备漏洞、应用程序漏洞等,主流系统基本都能覆盖。浏览器 0Day 漏洞攻击成为 APT 攻击的最常见入口,而且受到去年“三角行动”的影响,移动设备漏洞激增。
APT攻击手段持续升级 个人和企业面临严峻威胁
黑客们越来越聪明了。
报告发现,APT组织和网络犯罪团伙在网络攻击方面展现出了持续的创新和升级能力。他们对社区前沿攻击技术的变化十分敏感,可以在极短时间内将最新技术或工具应用在攻击行动上。同时,他们还不断扩张攻击图景,分化重组组织结构,使得防御难度不断上升,安全产品的自身防护和有效性面临着前所未有的挑战。
近年来,BYOVD、Rootkit、DLL 劫持等攻击技术被攻击者大肆改造滥用,比如,供应链投毒手段的应用,一旦成功可能对整个产业链造成严重影响。AI 能力的引入,让攻击者拥有了得心应手的辅助武器,再次降低了低级攻击手法的门槛。
深瞻情报实验室发现,过去一年,BYOVD 威胁事件极为频繁。在2023 年 11 月捕获的银狐样本中首次发现了 BYOVD 攻击技术,说明该场景开始从 APT/ 勒索组织,下沉到常规黑灰产的技术。
BYOVD威胁事件发展历程
APT事件无孔不入 国家背景窃密攻击与经济勒索并存
据深瞻情报实验室监测,2023年APT组织对国内多个行业频繁发起定向攻击,手段包括鱼叉式钓鱼、供应链投毒、安全设备定向绕过等等。除了以国家背景的窃密攻击和渗透,以经济为目的的定向勒索也开始波及新的行业和地区。
他们甚至瞄准大型计算资源,滥用资源以牟取暴利。一些网络犯罪团伙将网络攻击和诈骗结合,通过高欺骗性的手法造成大量受害者中招,传播性极强,高级的网络攻击逐渐和每个人息息相关。
看两个真实案例:
案例一
2023年,大量来自南亚地区的 APT 组织针对我国科研院所发起定向窃密攻击,主要集中于航空航天领域。据深瞻情报实验室监测,2023 年 2 月至 4 月,一所国内高校的近百名教职工和学生遭到境外定向网络攻击,攻击者将钓鱼邮件伪装成“faculty-confirmation”、“论文校对”、“顶级会议 Co-chair 邀请”等话术,导致多名教职工和学生的个人电脑被植入窃密木马,多台主机的文件被窃取。
高校行业的定向钓鱼路径
以《关于规范院士兼职的通知》为主题的邮件钓鱼
案例二
2023 全年,深瞻情报实验室监测到,东南亚地区的中文黑灰产圈通过微信、QQ 等即时通信工具、邮件以及伪造工具网站的方式,对境内金融、教育、电商、货运、设计等行业进行了多次大规模的钓鱼攻击。这些攻击主要针对相关公司的财务或信息人员,旨在窃取资金或获取其他敏感数据。
“银狐”的整体攻击链
根据深瞻情报实验室监测,2023年,来自南亚和东亚的蔓灵花、摩诃草、响尾蛇、伪猎者、CNC、APT37等多个APT组织,对我国的攻击行动十分活跃。他们主要瞄准政府(外交、国防)、军工、核工业、航空工业、船舶工业以及海运等关键行业开展网络攻击,手段多样且狡猾,窃取敏感资料。
面对APT攻击新挑战,应如何应对?
面对APT攻击的快速演变升级,各行业建立起有效的 APT 防御体系已迫在眉睫。
根据对攻击技巧及 APT 组织的长期跟踪分析,深瞻情报实验室发现攻击者获得初始落脚点的关键环节是内部员工失陷、管理疏忽的数字资产 、非预期篡改的依赖组件。深瞻情报实验室建议,企业和组织可以从人员意识安全、资产管理和保护、网域管理与安全设施部署、建立研发供应链安全机制、建立安全运营和事件响应中心等方面加固APT防御体系框架。
可以预见,未来APT组织和网络犯罪团伙的攻击手段和技术将继续升级演变,网络安全形势将更加严峻,我们必须保持高度警惕,加强防御措施。深信服将持续关注APT攻击的发展态势,深度洞察网络安全威胁,持续为所有用户的网络安全赋能。