奇安信：全球高级持续性威胁（APT）2020年中报告（24页）.pdf

编号：47335

PDF 24页 34.25MB 下载积分：VIP专享

下载报告请您先登录！

奇安信：全球高级持续性威胁（APT）2020年中报告（24页）.pdf

1、新冠疫情在全球范围的蔓延，导致很多公司和机构采用了远程办公的方式，其通常依赖于 VPN 应用接入企业内部网络，这样也暴露了可用于攻击的重要攻击入口。从历史披露的 APT 活动来看，利用VPN 或远程访问的脆弱性作为攻击入口一直较少被披露过。上半年，有国外 APT 组织利用国内某知名安全公司VPN 的漏洞实现载荷的下发。除此以外，国外安全厂商披露的Fox Kitten组织就利用了多个 VPN 漏洞访问目标内网，其中包括针对Pulse Secure（CVE-2019-11510）、Fortinet FortiOS（CVE-2018-13379）、Palo Alto Networks VPN（CVE

2、-2018-1579）。此外，在疫情期间，DarkHotel和Wellmess组织分别利用我国厂商的VPN漏洞进行攻击，前者在这次行动主要针对基层单位，后者则主要针对中国多家高级别科研机构。当然，无论是手法还是攻击目标，均可见预谋已久。从上半年的全球 APT 组织和活动披露来看，APT 威胁的整体活跃水平还是保持了一个比较高的频度，主要活跃的 APT 组织还是过去熟知的，中东地区依然是 APT 活动最为频繁和错综复杂的地域，活跃着数量众多的 APT 组织。在上半年的公开 APT 类情报中，出现了 4 个新命名的 APT 组织和活动，并且主要活跃于中东地区。1.WildPressureWildP

3、ressure 是卡巴披露的一个恶意攻击活动 1，该活动最早于 2019 年 8 月被发现，其分发了一个成熟的 C + 木马，并且所有的木马文件的编译时间戳都是相同的，均为 2019 年 3 月。唯一实现的加密是针对不同受害者具有不同 64 字节密钥的 RC4 算法。该活动主要针对中东地区的工业相关实体。2. 诺崇狮诺崇狮是由奇安信威胁情报中心新发现并命名的一个 APT 组织 2，该组织活跃在中东地区，其最早的样本文件可以追溯到 2013 年 9 月，在其历史活动中通常利用社交网络（如 Twitter，Telegram，youtube 等）进行非定向的水坑传播式钓鱼攻击及定向目标的鱼叉攻击，并

4、主要针对移动终端实施攻击。3.Fox KittenFox Kitten 是由国外安全厂商 ClearSky 发现并命名的中东地区APT 组织3。ClearSky在2019年第四季度发现其持续三年的攻击活动，该团伙可能和 APT33和 APT34相关，并且也确定了 APT33和APT39之间的联系。相关活动是通过使用各种攻击性工具进行的，其中大多数是基于开放的源代码，而有些是自行开发的。其还利用了 RDP 和 VPN 的漏洞。4.NazarNazar 是国外安全研究人员在OPCDE 会议上公开披露和命名的 APT 活动4，其是对ShadowBrokers 泄露资料中，TeDi签名为SIG37的 APT 组织的归属。而 TeDi 签名是某西方大国情报机构对全球其他 APT 组织和活动的跟踪项目，并且以 sigXX 的形式代号进行命名。CrySyS实验室在此前对 TeDi签名 SIG37归因为IronTiger，而此次安全研究人员对其发表了不同的结论，其实际攻击活动可能和中东地区有关，并且最早可以追溯到2008年，并集中在2010-2013年。

友情提示

1、下载报告失败解决办法
2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。
3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。
4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

本文（奇安信：全球高级持续性威胁（APT）2020年中报告（24页）.pdf）为本站（elLLL）主动上传，三个皮匠报告文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知三个皮匠报告文库（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。