电联通信-APT组织档案馆|2021年度APT组织活动态势分析
近日,绿盟科技联合广州大学网络空间先进技能研讨院联合发布2021年《APT安排情报研讨年鉴》,该年鉴凭借网络空间要挟建模常识图谱和大数据复合语义追踪技能,对全球372个APT安排常识进行了常识图谱归因建档,构成APT安排档案馆,并对APT安排活动进行大数据追踪,然后对2021年度新增和活泼的进犯安排的进犯活动态势进行剖析。现在该年鉴所触及的相关情报和技能已经应用在绿盟科技的要挟情报渠道(NTIP)和UTS、IDS、IPS等多个产品中,并支撑网络安全检查以及重大活动保障等活动,取得了十分不错的成绩。
本文为《APT安排情报研讨年鉴》精华解读系列文章之一,本篇首要介绍年鉴中提到的绿盟科技2021年根据爬虫框架和常识图谱自然语言处理技能,从全球100多个开源情报源新采集到的APT安排(新增APT安排)和被监测到有活泼痕迹的APT安排的总体态势状况,以及在年鉴中出现的APT安排信息状况。
一. 微观态势
根据绿盟科技云端服务2020年9月至2021年9月数据,从情报新增以及活泼监控发现的120个APT安排,可以总结出整个APT微观态势具有如下特征:
亚洲是APT安排要点关注的区域,共22个国家遭受超过54次APT安排发起的进犯活动。其间我国(包含我国台湾和我国香港)就遭受12个安排的进犯,而且集中于政府、国防领域,从总体上看APT安排首要的意图仍以间谍活动、灵敏信息盗取为主。
APT进犯的假装技能的发展导致APT归因的复杂性增大,然后使得对APT安排的归因成果并不准确;已发布的APT报告显现,归因于我国的APT安排数量逐年增高,2021年新增的63个APT安排中有9个被国外研讨机构归因于我国,有4个归因于俄罗斯,但是同期,归由于美国的安排却只有1个。随着假装技能的发展(比如ATT&CK战术(tactic)中TA0005就是“防御规避”,技能(technique)中T1036就叫做“假装”),越来越多的假装嫁祸使得难以从技能视点进行APT的归因。被假装嫁祸的典型是朝鲜Lazarus Group,2021年总共发表了70份相关报告,新增IOC(IP:12,域名:324,邮箱:10,链接:410,哈希:1129,缝隙:5)数量远超正常。从应急和剖析成果来看,进犯我国的APT安排经常假装模仿APT32海莲花的战术战法。从这个方面也说明我们需要加强传统上进犯方针不是我国的APT安排的防护并进步归因相关研讨的世界影响力。
供应链进犯开端成为APT安排的常用进犯手段,由于大部分的企业没有对供应链进犯做好充足的准备,导致类似案例均形成比较大的影响。如SolarWinds供应链进犯事情中根据官方提供的客户清单,影响超过98个企业,涉及政府、咨询、技能、电信石油和天然气等职业;另一起针对BigNox的NoxPlayer模拟器供应链进犯更是影响全球超过1.5亿的用户。
以经济利益为首要进犯意图的APT安排占比逐步进步,新发现的63个安排中有14个以此为活动方针,首要的表现方式为勒索、挖矿,比较新式的获益方式则是出售受害方针单位的访问权限,如UNC1945安排和TA547安排,这类安排在获取受害单位权限前后表现出截然不同的进犯技能手段以及进犯意图的差别。
恶意软件即服务(MaaS)在APT安排中逐步流行,除了下降APT安排进犯本钱之外还加大了进犯者归因的难度。以TA系列安排为例包含:TA569、TA800、TA577、TA551、TA570等,在初始阶段运用Trick、Dridex、Qbot、IcedID、ZLoader、Ursnif等恶意软件感染尽可能多的受害单位,第二阶段才分发WastedLocker、Ryuk、Egregor、Maze、Sodinokibi、ProLock等勒索软件完成其进犯意图。
二. 新增APT安排
根据聚合的博客、大众号等180个情报源,2020年10月至2021年9月期间,绿盟科技新增采集APT安排63个,从309个增加至372个,数量增加了约20%,平均每个月新增APT安排约5个,如下图所示:
APT安排情报新增趋势
从APT安排地舆归属上看,41个(约占65%)APT安排未能进行有效的国家归因,归因于我国和俄罗斯的APT安排最多,分别为9个和4个,需注意的是,现在APT安排的国家归因复杂性十分高,部分报告发表的归因依据其实并不充沛,存在误判和嫁祸的可能性。APT地舆安排分布如下图所示
APT安排地舆分布
可归因至确切国家的APT安排共22个,且首要分布在亚洲(共15个,占68%),其次分布在欧洲和非洲,分别为6个和1个。
APT安排地舆分布(去除不知道)
三. 活泼APT安排
根据绿盟科技云端上下文感知核算的APT安排追踪技能,2020年10月至2021年9月期间,共监测发现57个APT安排的活泼头绪,平均每个月活泼安排约19个。其间从2020年12月至2021年2月这三个月期间APT安排极为活泼,三个月平均活泼安排将近30个。
APT安排活泼态势
监测的57个APT安排中,最为活泼的10个安排分别为:TA505、Lazarus Group、MUMMY SPIDER、Viceroy Tiger、APT37、Sofacy、Mirage、OrangeWorm、TeamSpy Crew、Kimsuky,活泼月份均超过六个月。其间TA505和Lazarus Group在过去一年每个月均发现活泼头绪,其次是MUMMY SPIDER和Viceroy Tiger,仅一个月没有监测到其进犯活动。
APT安排活泼月份数
四. APT安排图鉴介绍
在年鉴中,我们将2021年新增采集到的63个APT安排和活泼的56个APT安排依照绿盟科技构建的APT安排档案馆结构进行了计算性的出现,以APT32(海莲花)为例:
在表格右上方是依照钻石模型对APT安排进行各个维度的计算信息出现,表格最下方这是出现该APT安排在绿盟科技云端APT常识图谱中进行图可视化的状况,展示了该安排相关的各类要挟常识的状况。图鉴中所有APT安排均依照上表格局进行出现,表格主体部分首要描绘了APT安排姓名、别号;历史上进犯的方针国家、职业;APT安排首次发现时间、最近活泼时间;动机和描绘信息。
具体的剖析内容和进犯安排信息可以直接参阅完好的《APT安排情报研讨年鉴》
