新闻
-
小米「人车家全生态」全面展出,上海小米之家汽车...
4月13日,小米2024年米粉节进入高潮阶段,17家小米之家汽车旗舰店和体验店震撼开业,其中上海就有4家小米之家汽车门店分别是:小米之家徐汇区徐汇百联汽车旗舰店,小米之家静安区静安大悦城汽车体验店,小米之家...
-
开茶咯!| 龙腾茶舞,2024年“第一食品”春茶节格外热闹
4月2日,“2024年龙腾茶舞裕贵迎春·第一食品春季茶文化节暨汪裕泰贵茶新品发布仪式”在第一食品南京东路旗舰店内拉开帷幕。 在第一食品汪裕泰茶柜台已是茶香氤氲,每逢这个时节到第一食品买汪...
-
酒店行业开年大展,释放了哪些特别信号?
3月26日,2024上海国际酒店工程设计与用品博览会开幕,近2000家参展企业齐聚上海,展示最新产品技术,助力酒店和行业上下游产业链的深度融合。 过去一年,蛰伏三年的旅游市场迎来复苏,据统计,2023年国内出游...
-
把都市搬入社区,“双品牌”城家上海嘉定国际社区正...
深耕长租9年来,我们看到了租客画像的一些新变化。 城市边界的模糊与城市群的加速发展,“双城生活”已不再是新鲜词,不少人奔波在出差的路上,把酒店当成临时的“家”; 家庭结构也发生变化,以往的...
-
上海和平眼科医院“世界糖尿病日”眼病筛查活动完美...
我国是糖尿病高发国,随着糖尿病发病率的升高,糖尿病性眼病也有日益增多的趋势。值得注意的是,糖尿病对眼部的影响是无声无息的,等到患者被发现糖尿病性眼病时,可能已经是晚期,延误了治疗,甚至致...
商业
-
香港新楼盘“亲海駅”的启示:市场价等于交易价
近期,多家大型房企相继陷入债务危机,旗下资产被司法拍卖;奈何,拍卖过程往往出现无人问津的情况。据了解,这情况之出现正是因为项目之估价与市场价出现大幅差距,才会导致“流拍”。 香港在高...
-
世界奶业大会正式开幕:蒙牛卢敏放英文致辞 发布“...
8月5日,2023世界奶业大会在内蒙古呼和浩特市正式召开。内蒙古自治区党委副书记、自治区主席王莉霞,农业农村部总畜牧师张天佐,国际乳制品联合会(IDF)主席 Piercristiano Brazzale,呼和浩特市委副书记、市长贺海东...
-
慧瑾国际家政:专注高端定制家政服务,打造尊贵生活
随着社会经济快速发展,人们对生活质量的追求日益提高,母婴服务、养老服务、家庭服务等需求逐渐增大。加之近年来,我国陆续出台了一些促进家政服务业建设的政策,家政服务业也因此得到了快速发展。 对...
APT组织档案馆|2021年度APT组织活动态势分析
发布时间:2022/02/11 新闻 浏览:189
近日,绿盟科技联合广州大学网络空间先进技术研究院联合发布2021年《APT组织情报研究年鉴》,该年鉴借助网络空间威胁建模知识图谱和大数据复合语义追踪技术,对全球372个APT组织知识进行了知识图谱归因建档,形成APT组织档案馆,并对APT组织活动进行大数据追踪,从而对2021年度新增和活跃的攻击组织的攻击活动态势进行分析。目前该年鉴所涉及的相关情报和技术已经应用在绿盟科技的威胁情报平台(NTIP)和UTS、IDS、IPS等多个产品中,并支撑网络安全检查以及重大活动保障等活动,取得了非常不错的成绩。
本文为《APT组织情报研究年鉴》精华解读系列文章之一,本篇主要介绍年鉴中提到的绿盟科技2021年基于爬虫框架和知识图谱自然语言处理技术,从全球100多个开源情报源新采集到的APT组织(新增APT组织)和被监测到有活跃迹象的APT组织的总体态势情况,以及在年鉴中呈现的APT组织信息情况。
一. 宏观态势
基于绿盟科技云端服务2020年9月至2021年9月数据,从情报新增以及活跃监控发现的120个APT组织,可以总结出整个APT宏观态势具有如下特征:
亚洲是APT组织重点关注的区域,共22个国家遭受超过54次APT组织发起的攻击活动。其中中国(包括中国台湾和中国香港)就遭受12个组织的攻击,并且集中于政府、国防领域,从总体上看APT组织主要的意图仍以间谍活动、敏感信息窃取为主。
APT攻击的伪装技术的发展导致APT归因的复杂性增大,从而使得对APT组织的归因结果并不准确;已发布的APT报告显示,归因于我国的APT组织数量逐年增高,2021年新增的63个APT组织中有9个被国外研究机构归因于我国,有4个归因于俄罗斯,但是同期,归因为美国的组织却只有1个。随着伪装技术的发展(比如ATT&CK战术(tactic)中TA0005就是“防御规避”,技术(technique)中T1036就叫做“伪装”),越来越多的伪装嫁祸使得难以从技术角度进行APT的归因。被伪装嫁祸的典型是朝鲜Lazarus Group,2021年一共披露了70份相关报告,新增IOC(IP:12,域名:324,邮箱:10,链接:410,哈希:1129,漏洞:5)数量远超正常。从应急和分析结果来看,攻击我国的APT组织经常伪装模仿APT32海莲花的战术战法。从这个方面也说明我们需要加强传统上攻击目标不是中国的APT组织的防护并提升归因相关研究的国际影响力。
供应链攻击开始成为APT组织的常用攻击手段,由于大部分的企业没有对供应链攻击做好充足的准备,导致类似案例均造成比较大的影响。如SolarWinds供应链攻击事件中根据官方提供的客户清单,影响超过98个企业,波及政府、咨询、技术、电信石油和天然气等行业;另一起针对BigNox的NoxPlayer模拟器供应链攻击更是影响全球超过1.5亿的用户。
以经济利益为主要攻击意图的APT组织占比逐渐提高,新发现的63个组织中有14个以此为活动目标,主要的表现形式为勒索、挖矿,比较新型的获益形式则是出售受害目标单位的访问权限,如UNC1945组织和TA547组织,这类组织在获取受害单位权限前后表现出截然不同的攻击技术手段以及攻击意图的差别。
恶意软件即服务(MaaS)在APT组织中逐渐流行,除了降低APT组织攻击成本之外还加大了攻击者归因的难度。以TA系列组织为例包括:TA569、TA800、TA577、TA551、TA570等,在初始阶段使用Trick、Dridex、Qbot、IcedID、ZLoader、Ursnif等恶意软件感染尽可能多的受害单位,第二阶段才分发WastedLocker、Ryuk、Egregor、Maze、Sodinokibi、ProLock等勒索软件实现其攻击意图。
二. 新增APT组织
基于聚合的博客、公众号等180个情报源,2020年10月至2021年9月期间,绿盟科技新增采集APT组织63个,从309个增长至372个,数量增长了约20%,平均每个月新增APT组织约5个,如下图所示:
APT组织情报新增趋势
从APT组织地理归属上看,41个(约占65%)APT组织未能进行有效的国家归因,归因于中国和俄罗斯的APT组织最多,分别为9个和4个,需注意的是,目前APT组织的国家归因复杂性非常高,部分报告披露的归因证据其实并不充分,存在误判和嫁祸的可能性。APT地理组织分布如下图所示
APT组织地理分布
可归因至确切国家的APT组织共22个,且主要分布在亚洲(共15个,占68%),其次分布在欧洲和非洲,分别为6个和1个。
APT组织地理分布(去除未知)
三. 活跃APT组织
基于绿盟科技云端上下文感知计算的APT组织追踪技术,2020年10月至2021年9月期间,共监测发现57个APT组织的活跃线索,平均每个月活跃组织约19个。其中从2020年12月至2021年2月这三个月期间APT组织极为活跃,三个月平均活跃组织将近30个。
APT组织活跃态势
监测的57个APT组织中,最为活跃的10个组织分别为:TA505、Lazarus Group、MUMMY SPIDER、Viceroy Tiger、APT37、Sofacy、Mirage、OrangeWorm、TeamSpy Crew、Kimsuky,活跃月份均超过六个月。其中TA505和Lazarus Group在过去一年每个月均发现活跃线索,其次是MUMMY SPIDER和Viceroy Tiger,仅一个月没有监测到其攻击活动。
APT组织活跃月份数
四. APT组织图鉴介绍
在年鉴中,我们将2021年新增采集到的63个APT组织和活跃的56个APT组织按照绿盟科技构建的APT组织档案馆结构进行了统计性的呈现,以APT32(海莲花)为例:
在表格右上方是按照钻石模型对APT组织进行各个维度的统计信息呈现,表格最下方这是呈现该APT组织在绿盟科技云端APT知识图谱中进行图可视化的情况,展现了该组织关联的各类威胁知识的情况。图鉴中所有APT组织均按照上表格式进行呈现,表格主体部分主要描述了APT组织名字、别名;历史上攻击的目标国家、行业;APT组织首次发现时间、最近活跃时间;动机和描述信息。
详细的分析内容和攻击组织信息可以直接参考完整的《APT组织情报研究年鉴》