全球高级 持续性威胁2020 APT 研究报告RESEARCH REPORT ▪ 2020年攻击概览 ▪ 针对中国的 APT攻击 ▪ 全球威胁态势 ▪ 2020年攻击态势总结 ▪ 2020年攻击技战术总结 ▪ 2021年APT趋势预测 全球高级 持续性威胁2020 研究报告007/2020 年攻击概览 010/针对中国的 APT攻击 012 南亚 018 东亚 026 东南亚 029 其他 034/全球威胁态势 036 俄语系攻击组织 037 印欧语系攻击组织 040 朝鲜半岛 042 中东地区 044 其他 049/2020 年攻击态势总结 049 针对我国的攻击较去年持续上升 050 新冠肺炎疫情全球化对 APT的影响 053 物联网设备 -APT新的战备资源 055 供应商演变成全行业的安全短板 057 针对移动平台的 APT攻击持续活动 058 APT 组织与安全机构对抗愈发激烈 059 关键行业分析 070/2020 年攻击技战术总结 070 十大ATT＆CK核心技战术 072 利用0day漏洞攻击持续活跃 074 疫情影响下 VPN成为边界突破新入口 075 控制基础网络设施 076 安全软件已成为横向移动关键媒介 077 命令控制技术变化趋势 079/2021 年APT趋势预测 079 针对中国的国家级网络攻击， APT组织数量 和攻击活跃程度可能会超过今年 080 围绕“新冠肺炎疫情” 话题的攻击将持续活跃 080 涉及远程办公基础设施的攻击将越发频繁 081 以供应商为核心目标的供应链攻击将常态主流化 082 继续紧密围绕政治、 经济等热点领域及事件， 以网络间谍活动为主 083 未知APT组织将越来愈多， 归因需长期持续研判 085 意图为破坏、 窃密的针对性勒索攻击将不断出现 087/附录 087 360 安全大脑 087 研究机构 089 参考链接005 基于360安全大脑全网安全数据和第三方公开情报数据综合研判， 2020年高 级持续性威胁整体态势如下：摘要 2020年中国仍是 APT攻击主要受害者， 针对我国的攻击持续上升， 其中政府、 教育和国防军工相关单位是重点被攻击目标。 我们今年共披露了 23个APT组 织涉及全球范围的攻击活动， 针对中国地区发起攻击的组织 13个。 全球范围内政府、 国防军工依然是 APT攻击的首要目标。 今年发生了全球史上 最 严 重 的 供 应 链 攻 击，致 使 全 球 31个国家数百家重要核心组织机构陷落。 针对 供应链的攻击， 尤其是 IT供应商的攻击未来将常态主流化。 疫情背景下医疗行 业的威胁凸显。 伴随着 5G和物联网技术的迅速发展， 物联网设备已成为 APT 组织新的战备物资。 涉及数字货币的攻击频发， 这类新兴领域面临严峻挑战。 新冠疫情冲击下直接带来的是以聚焦远程办公突破口、 围绕新冠疫情话题攻 击、 针对医疗行业窃取抗疫情报等使得 APT威 胁 愈 演 愈 烈 。另 一方 面 疫 情 全 球 化从多维度冲击着国际关系构建和国际秩序走向， 安全秩序中的对立格局凸 显 ，各 方 全 面 战 略 竞 争 加 剧 ，由 此 刺 激 下 的 APT攻击威胁进一步加剧。 利用0day漏洞攻击持续活跃， 但由于攻击成本高， 供应链攻击的更高性价比， APT组织在选用 0day攻击时会更加谨慎保守。 越来越多的 APT组织正在参与 开发针对移动设备的武器工具。 恶意通信流量与正常流量混合已成趋势， 给现 有流量安全检测带来巨大挑战。 意图为破坏、 窃密的针对性勒索攻击将不断出现； 越来越多的未知 APT组织开 始涌现， APT组织归属还需进行长期持续研判。 另一方面更多的复杂攻击和全 新组织将会陆续披露。 006 01PART 全球高级 持续性威胁 APT 研究报告007 2020年攻击概览 2020年初， 在新冠疫情给全球格局带来新的冲击影响下， 全球 APT攻击活 动异常活跃。 全年公开报告数量 687篇， 其中涉及披露的组织 132个，首 次 披露的组织 25个。 主要集中已知组织的新攻击活动， 越来越多的未知 APT 组织开始涌现。 另外我们也发现大量已知组织开始不断拓展战场， 主要从 攻击目标地域和涉及行业领域都有显著的变化， 如海莲花组织更多采用攻 击供应商策略， 并更聚焦教育行业。 “新冠肺炎疫情” 已成为今年攻击利 用最频繁的话题， 在疫情影响下数字时代最大规模的一次远程办公迁徙， 随 之 带 来 了一 系 列 严 重 的 安 全 问 题 ，远 程 办 公 成 为 APT攻 击“ 众 矢 之 的 ”。 全球范围内 APT攻击活动涉及的领域主要围绕地缘政治涉及政府、国防军 工、金融等， 另外针对 IT供应商、 医疗行业的攻击显著上升， 尤其是供应商 问 题 越 来 愈 严 重 ，也 是 继 APT组织使用 0day武器后现阶段最优选的攻 击 战 术 。今 年 12月披露了针对 SolarWinds 公司 供 应 链 攻击的“落 鹰 行 动”1， 是全球史上最严重的供应链攻击， 由此也暴露出供应商演变成全行 业的安全短板。2020年攻击概览 PART 01 007008 2020年攻击概览 PART 01 008 境外APT组织针对我国的攻击持续上升， 全年公开报告中涉及中国地区遭 受攻击的报告数量最多， 进一步依托 360安全大脑和基于公开数据综合研 判 ，我 们 发 现 2020年中国仍是 APT攻 击 主 要 受 害 者 。依 托 强 大 的 安 全 能 力，360在过去数年发现了 44个其他国家背景的 APT组 织 ，监 测 到 3000多 次对中国的国家级网络攻击。 我们今年共披露了 23个APT组织涉及全球范 围的攻击活动， 针对中国地区发起攻击的组织 13个， 其中首次披露的组织 4个， 如魔鼠、 蓝色魔眼和旺刺等组织。 针对中国地区攻击的 APT组织不仅 数 量 最 多，其 攻 击 能 力 也 是 全 球 顶 尖 。 蓝 色 魔 眼（ AP T-C-41 ） 10月7月 12月 旺 刺（ AP T-C-47 ）魔 鼠（ AP T-C-42 ） 我们监测到该组织在今年 1月首次针对中国发起攻 击 ，并 捕 获 到 了该 组 织 最 新 V4版 本 的 攻击 组 件。此 次攻击的针对性极强， 是该组织罕见地针对我国相 关重要机构发起的首起定向攻击行动。7月我们披露了该组织针对我国政府、 通信等行业 的攻击活动， 并针对核心基础设施的供应商进行了 渗 透 。相 关攻击 最早开 始 于 2017年12月，持 续 活 跃至今。 12月我们披露了该组织利用 ClickOnce 恶意 程 序 的 攻击 行 动 。这 是 一 起 来自 朝 鲜 半 岛 地 区 未知APT组织的攻击行动， 攻击行动可以追溯到 2018年。009 2020年攻击概览 PART 01 009 上 半 年 ，我 们 多次 披 露 Darkhotel 组织利用浏览器 0day、VPN 0day 等漏 洞针对我国重要机构发起定向攻击。 这些攻击组织使用大量 0day、供 应 商 战术、 首次针对远程办公基础设施等最新技战术并不惜成本的首次应用在针 对我国的战场上。 今年在新冠肺炎疫情和单边主义保护主义等多重压力之下， 中国货物贸易进 出口同比逆势增长 1.9％， 成为全球唯一外贸正增长主要经济体。由于地缘 政治因素、 新冠肺炎疫情的持续影响等长期问题， 以及从针对我国活跃组织 数量不断的增加趋势推测， 尤其在围绕 “十四五规划” 和 2035年远景目标等 相关政策方向、 新技术研究落地期间， 这类多个 APT组织都会窥探的领域， 相关攻击会更活跃。 我们预测明年针对中国的国家级网络攻击， 活跃组织的 数量和攻击活跃程度可能会超过今年。 360政企安全定位是 “新时代的网络安全运营商” ， 向国家和所有城市输送 网络安全运营能力， 为国家、 城市、 行业构建安全防护 “铜墙铁壁” 。010 02PART 全球高级 持续性威胁 APT 研究报告