说米网

近来，绿盟科技伏影实验室联合CNCERT网络安全应急技能国家工程研讨中心发布《2021年度高档要挟研讨陈述》(以下简称《陈述》)。《陈述》不只总结了APT进犯技能开展和要点进犯方针,还分别针对伏影实验室发表的国内外APT进犯活动进行了详细剖析，总结了本年度APT进犯活动的特征，并依据剖析成果提出了猜测和防备主张。

APT进犯防备要留神“定制化的垂钓邮件”

各国家级APT安排的进犯活动首要环绕定制化的垂钓邮件打开，终究经过其间的各类歹意附件文件达到进犯意图。被广泛运用的歹意附件类型包含文档、快捷方式文件、html文件等。

垂钓文档钓饵进犯类型

经过多年开展，垂钓文档相关技能现已老练，歹意宏、缝隙运用、机制乱用等三类常见进犯完成途径。

为了完善上述干流的进犯方式以及扩展本身进犯才能，2021年，APT安排引进并落地了多种新式进犯技能，包含新式0day缝隙、新式社会工程学方法、新式特征躲藏方法等。

新式0day缝隙

2021年头，Lazarus安排在一次进犯活动中运用了编号为CVE-2021-26411的IE 0day缝隙。在相关进犯流程中，CVE-2021-26411缝隙处理了shellcode履行、提权、进程驻留等多个方面的问题，使进犯具有很强的破坏性。情报显现，该缝隙在被发表后受到了广泛重视，并被交融至在野运用乃至其他新式APT安排的进犯活动傍边。

新式社会工程学方法

一种根据新媒体运营的方针挑选与垂钓方法被Lazarus安排推行运用，并被Charming Kitten等其他APT安排学习。Lazarus安排进犯者制作了多个假造的安全研讨者交际账号并进行继续运营，经过发布所谓的缝隙研讨信息招引重视。随后，经过1对1的交际互动诱惑这些方针接纳带毒文件并运转，完成精准的定向保密进犯。

新式特征躲藏方法

一种结合类DGA域名与DNS tunneling的流量躲藏技能，给UNC2452安排的SunBurst木马供给了完美的反勘探才能。这种根据DNS信道的特别的通讯方法成功绕过了一切受害者的检测防护机制，协助UNC2452进犯者完成了长达9个月的供应链进犯活动。

政府部分、卫生防疫安排成为APT要点进犯方针

现在，国家级APT安排全体上仍然以地缘政治上的敌对势力作为首要进犯方针，并要点浸透在当时时段内可以对区域局势发生巨大影响的安排和设备，这些要点方针包含政府部分、卫生防疫安排和法务部分等。

此外，为满意不断增加的进犯才能需求，APT安排开端进犯安全研讨人员，企图获取0day缝隙和浸透东西等，丰厚自己的进犯手法。