全球高级
持续性威胁2020
APT
研究报告RESEARCH
REPORT
▪ 2020年攻击概览
▪ 针对中国的 APT攻击
▪ 全球威胁态势
▪ 2020年攻击态势总结
▪ 2020年攻击技战术总结
▪ 2021年APT趋势预测
全球高级
持续性威胁2020
研究报告007/2020 年攻击概览
010/针对中国的 APT攻击
012 南亚
018 东亚
026 东南亚
029 其他
034/全球威胁态势
036 俄语系攻击组织
037 印欧语系攻击组织
040 朝鲜半岛
042 中东地区
044 其他
049/2020 年攻击态势总结
049 针对我国的攻击较去年持续上升
050 新冠肺炎疫情全球化对 APT的影响
053 物联网设备 -APT新的战备资源
055 供应商演变成全行业的安全短板
057 针对移动平台的 APT攻击持续活动
058 APT 组织与安全机构对抗愈发激烈
059 关键行业分析
070/2020 年攻击技战术总结
070 十大ATT&CK核心技战术
072 利用0day漏洞攻击持续活跃
074 疫情影响下 VPN成为边界突破新入口
075 控制基础网络设施
076 安全软件已成为横向移动关键媒介
077 命令控制技术变化趋势
079/2021 年APT趋势预测
079 针对中国的国家级网络攻击, APT组织数量
和攻击活跃程度可能会超过今年
080 围绕“新冠肺炎疫情” 话题的攻击将持续活跃
080 涉及远程办公基础设施的攻击将越发频繁
081 以供应商为核心目标的供应链攻击将常态主流化
082 继续紧密围绕政治、 经济等热点领域及事件,
以网络间谍活动为主
083 未知APT组织将越来愈多, 归因需长期持续研判
085 意图为破坏、 窃密的针对性勒索攻击将不断出现
087/附录
087 360 安全大脑
087 研究机构
089 参考链接005
基于360安全大脑全网安全数据和第三方公开情报数据综合研判, 2020年高
级持续性威胁整体态势如下:摘要
2020年中国仍是 APT攻击主要受害者, 针对我国的攻击持续上升, 其中政府、
教育和国防军工相关单位是重点被攻击目标。 我们今年共披露了 23个APT组
织涉及全球范围的攻击活动, 针对中国地区发起攻击的组织 13个。
全球范围内政府、 国防军工依然是 APT攻击的首要目标。 今年发生了全球史上
最 严 重 的 供 应 链 攻 击,致 使 全 球 31个国家数百家重要核心组织机构陷落。 针对
供应链的攻击, 尤其是 IT供应商的攻击未来将常态主流化。 疫情背景下医疗行
业的威胁凸显。 伴随着 5G和物联网技术的迅速发展, 物联网设备已成为 APT
组织新的战备物资。 涉及数字货币的攻击频发, 这类新兴领域面临严峻挑战。
新冠疫情冲击下直接带来的是以聚焦远程办公突破口、 围绕新冠疫情话题攻
击、 针对医疗行业窃取抗疫情报等使得 APT威 胁 愈 演 愈 烈 。另 一方 面 疫 情 全 球
化从多维度冲击着国际关系构建和国际秩序走向, 安全秩序中的对立格局凸
显 ,各 方 全 面 战 略 竞 争 加 剧 ,由 此 刺 激 下 的 APT攻击威胁进一步加剧。
利用0day漏洞攻击持续活跃, 但由于攻击成本高, 供应链攻击的更高性价比,
APT组织在选用 0day攻击时会更加谨慎保守。 越来越多的 APT组织正在参与
开发针对移动设备的武器工具。 恶意通信流量与正常流量混合已成趋势, 给现
有流量安全检测带来巨大挑战。
意图为破坏、 窃密的针对性勒索攻击将不断出现; 越来越多的未知 APT组织开
始涌现, APT组织归属还需进行长期持续研判。 另一方面更多的复杂攻击和全
新组织将会陆续披露。
006
01PART
全球高级
持续性威胁 APT
研究报告007
2020年攻击概览
2020年初, 在新冠疫情给全球格局带来新的冲击影响下, 全球 APT攻击活
动异常活跃。 全年公开报告数量 687篇, 其中涉及披露的组织 132个,首 次
披露的组织 25个。 主要集中已知组织的新攻击活动, 越来越多的未知 APT
组织开始涌现。 另外我们也发现大量已知组织开始不断拓展战场, 主要从
攻击目标地域和涉及行业领域都有显著的变化, 如海莲花组织更多采用攻
击供应商策略, 并更聚焦教育行业。 “新冠肺炎疫情” 已成为今年攻击利
用最频繁的话题, 在疫情影响下数字时代最大规模的一次远程办公迁徙,
随 之 带 来 了一 系 列 严 重 的 安 全 问 题 ,远 程 办 公 成 为 APT攻 击“ 众 矢 之 的 ”。
全球范围内 APT攻击活动涉及的领域主要围绕地缘政治涉及政府、国防军
工、金融等, 另外针对 IT供应商、 医疗行业的攻击显著上升, 尤其是供应商
问 题 越 来 愈 严 重 ,也 是 继 APT组织使用 0day武器后现阶段最优选的攻
击 战 术 。今 年 12月披露了针对 SolarWinds 公司 供 应 链 攻击的“落 鹰 行
动”1, 是全球史上最严重的供应链攻击, 由此也暴露出供应商演变成全行
业的安全短板。2020年攻击概览 PART 01 007008
2020年攻击概览 PART 01 008
境外APT组织针对我国的攻击持续上升, 全年公开报告中涉及中国地区遭
受攻击的报告数量最多, 进一步依托 360安全大脑和基于公开数据综合研
判 ,我 们 发 现 2020年中国仍是 APT攻 击 主 要 受 害 者 。依 托 强 大 的 安 全 能
力,360在过去数年发现了 44个其他国家背景的 APT组 织 ,监 测 到 3000多
次对中国的国家级网络攻击。 我们今年共披露了 23个APT组织涉及全球范
围的攻击活动, 针对中国地区发起攻击的组织 13个, 其中首次披露的组织
4个, 如魔鼠、 蓝色魔眼和旺刺等组织。 针对中国地区攻击的 APT组织不仅
数 量 最 多,其 攻 击 能 力 也 是 全 球 顶 尖 。
蓝 色 魔 眼( AP T-C-41 ) 10月7月
12月 旺 刺( AP T-C-47 )魔 鼠( AP T-C-42 )
我们监测到该组织在今年 1月首次针对中国发起攻
击 ,并 捕 获 到 了该 组 织 最 新 V4版 本 的 攻击 组 件。此
次攻击的针对性极强, 是该组织罕见地针对我国相
关重要机构发起的首起定向攻击行动。7月我们披露了该组织针对我国政府、 通信等行业
的攻击活动, 并针对核心基础设施的供应商进行了
渗 透 。相 关攻击 最早开 始 于 2017年12月,持 续 活
跃至今。
12月我们披露了该组织利用 ClickOnce 恶意
程 序 的 攻击 行 动 。这 是 一 起 来自 朝 鲜 半 岛 地 区
未知APT组织的攻击行动, 攻击行动可以追溯到
2018年。009 2020年攻击概览 PART 01 009
上 半 年 ,我 们 多次 披 露 Darkhotel 组织利用浏览器 0day、VPN 0day 等漏
洞针对我国重要机构发起定向攻击。 这些攻击组织使用大量 0day、供 应 商
战术、 首次针对远程办公基础设施等最新技战术并不惜成本的首次应用在针
对我国的战场上。
今年在新冠肺炎疫情和单边主义保护主义等多重压力之下, 中国货物贸易进
出口同比逆势增长 1.9%, 成为全球唯一外贸正增长主要经济体。由于地缘
政治因素、 新冠肺炎疫情的持续影响等长期问题, 以及从针对我国活跃组织
数量不断的增加趋势推测, 尤其在围绕 “十四五规划” 和 2035年远景目标等
相关政策方向、 新技术研究落地期间, 这类多个 APT组织都会窥探的领域,
相关攻击会更活跃。 我们预测明年针对中国的国家级网络攻击, 活跃组织的
数量和攻击活跃程度可能会超过今年。
360政企安全定位是 “新时代的网络安全运营商” , 向国家和所有城市输送
网络安全运营能力, 为国家、 城市、 行业构建安全防护 “铜墙铁壁” 。010
02PART
全球高级
持续性威胁 APT
研究报告
360 2020全球高级持续性威胁APT研究报告
安全报告 >
360 >
文档预览
中文文档
95 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共95页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 思安 于 2022-11-29 01:39:17上传分享