《奇安信:全球高级持续性威胁(APT)2020年中报告(24页).pdf》由会员分享,可在线阅读,更多相关《奇安信:全球高级持续性威胁(APT)2020年中报告(24页).pdf(24页珍藏版)》请在三个皮匠报告上搜索。
1、新冠疫情在全球范围的蔓延,导致很多公司和机构采用了远程办公的方式,其通常依赖于 VPN 应用接入企业内部网络,这样也暴露了可用于攻击的重要攻击入口。从历史披露的 APT 活动来看,利用VPN 或远程访问的脆弱性作为攻击入口一直较少被披露过。上半年,有国外 APT 组织利用国内某知名安全公司VPN 的漏洞实现载荷的下发。除此以外,国外安全厂商披露的Fox Kitten组织就利用了多个 VPN 漏洞访问目标内网,其中包括针对Pulse Secure(CVE-2019-11510)、Fortinet FortiOS(CVE-2018-13379)、Palo Alto Networks VPN(CVE
2、-2018-1579)。此外,在疫情期间,DarkHotel和Wellmess组织分别利用我国厂商的VPN漏洞进行攻击,前者在这次行动主要针对基层单位,后者则主要针对中国多家高级别科研机构。当然,无论是手法还是攻击目标,均可见预谋已久。从上半年的全球 APT 组织和活动披露来看,APT 威胁的整体活跃水平还是保持了一个比较高的频度,主要活跃的 APT 组织还是过去熟知的,中东地区依然是 APT 活动最为频繁和错综复杂的地域,活跃着数量众多的 APT 组织。在上半年的公开 APT 类情报中,出现了 4 个新命名的 APT 组织和活动,并且主要活跃于中东地区。1.WildPressureWildP
3、ressure 是卡巴披露的一个恶意攻击活动 1,该活动最早于 2019 年 8 月被发现,其分发了一个成熟的 C + 木马,并且所有的木马文件的编译时间戳都是相同的,均为 2019 年 3 月。唯一实现的加密是针对不同受害者具有不同 64 字节密钥的 RC4 算法。该活动主要针对中东地区的工业相关实体。2. 诺崇狮诺崇狮是由奇安信威胁情报中心新发现并命名的一个 APT 组织 2,该组织活跃在中东地区,其最早的样本文件可以追溯到 2013 年 9 月,在其历史活动中通常利用社交网络(如 Twitter,Telegram,youtube 等)进行非定向的水坑传播式钓鱼攻击及定向目标的鱼叉攻击,并
4、主要针对移动终端实施攻击。3.Fox KittenFox Kitten 是由国外安全厂商 ClearSky 发现并命名的中东地区APT 组织3。ClearSky在2019年第四季度发现其持续三年的攻击活动,该团伙可能和 APT33和 APT34相关,并且也确定了 APT33和APT39之间的联系。相关活动是通过使用各种攻击性工具进行的,其中大多数是基于开放的源代码,而有些是自行开发的。其还利用了 RDP 和 VPN 的漏洞。4.NazarNazar 是国外安全研究人员在OPCDE 会议上公开披露和命名的 APT 活动4,其是对ShadowBrokers 泄露资料中,TeDi签名为SIG37的 APT 组织的归属。而 TeDi 签名是某西方大国情报机构对全球其他 APT 组织和活动的跟踪项目,并且以 sigXX 的形式代号进行命名。CrySyS实验室在此前对 TeDi签名 SIG37归因为IronTiger,而此次安全研究人员对其发表了不同的结论,其实际攻击活动可能和中东地区有关,并且最早可以追溯到2008年,并集中在2010-2013年。