邮箱：ti_support@qianxin.com 电话：4009-303-120官网：https://ti.qianxin.com扫描关注我们的微信公众号 主要观点主要观点 /全球高级持续性威胁（APT）2020 年度报告 ◆ 医疗卫生行业史上首次超过政府、 金融、 国防、 能源、 电信等领域， 成为全球 APT 活动关注的首要目标。全球 23.7% 的 APT 活动事件与医疗卫生行业相关。针对疾控与防疫机构、病毒研究机构、疫苗研发机构和其他相关的医学研究机构的高级威胁活动持续不断。◆ 中国首次超过美国、韩国、中东等国家和地区，成为全球 APT 活动的首要地区性目标。面对世界百年未有之大变局，中国的经济与科技发展，正在经受着前所未有的巨大考验。针对中国领先的科研机构、科技企业的网络窃密活动与网络破坏活动持续加剧。◆ 2020 年，全球 APT 活动呈现出三大特点：疫情热点信息成 APT 活动常用诱饵，供应链和远程办公成为攻击切入点，定向勒索威胁成为 APT 活动新趋势。◆ 网络安全、互联网、芯片与半导体等行业成为 2020 年 APT 活动关注的新兴热点，出现了很多新的攻击特点，发生了多起影响深远的 APT 攻击事件。◆ 0day 在野利用在 2020 年持续高发。攻击者选用的漏洞目标逐渐从 Windows 下的原生浏览器，向Chrome、Firefox 等用户量更大的浏览器转移，如果用一句话来总结 2020 年的 0day 在野利用情况，我们愿称之为“Chrome 漏洞利用年”。◆ 我们预测，在 2021 年，APT 活动将呈现出如下六个趋势：疫苗及相关产业将会遭到持续攻击；针对中国的 APT 行动将持续加剧 ； 远程办公的各个环节都将遭受 APT 攻击 ； 地区冲突将引爆更激烈的网络战 ；网络武器库的泄露或将常态化；APT 组织可能组建基于 5G 与 IPv6 技术的物联网僵尸网络 全球高级持续性威胁（APT）2020 年度报告第一章 全球高级持续性威胁综述 一、全球高级威胁研究情况二、受害目标的行业与地域三、活跃高级威胁组织情况四、高级威胁年度活动特点 第二章 针对不同行业的高级持续性威胁 一、医疗卫生行业二、网络安全行业三、互联网行业四、半导体行业 第三章 不同地区活跃的高级攻击组织 一、东亚地区的组织与行动二、东南亚地区的组织与行动三、南亚地区的组织与行动四、东欧地区的组织与行动五、中东地区的组织与行动六、其他地区的组织与行动 全球高级持续性威胁（APT）2020 年度报告 邮箱：ti_support@qianxin.com 电话：4009-303-120 官网：https://ti.qianxin.com摘要 /全球高级持续性威胁（APT）2020 年度报告 目录 /全球高级持续性威胁（APT）2020 年度报告 摘 要 ◆ 2020 年，奇安信威胁情报中心收录了高级威胁类公开报告共 642 篇，涉及了 151 个命名的攻击组织或攻击行动，其中，提及率最高的五个 APT 组织分别是：Lazarus：10.3%，Kimsuky：7.8%，海莲花：5.4%，Darkhotel：4.8%，蔓灵花：3.2%。◆ 本次报告对开源情报中高级威胁活动涉及目标的国家和地域分布情况进行了分析和整理，监测显示高级威胁攻击活动几乎覆盖了全球绝大部分国家和地区。其中，开源情报中提及率最高的五个受害国家分别为：中国占比 7.4%，韩国：6.6%，美国：4.9%，巴基斯坦：3.2%，印度：3.2%。◆ 中国首次超过美国、韩国、中东等国家和地区，成为全球 APT 攻击的首要地区性目标。◆ 医疗卫生行业史上首次超过政府、 金融、 国防、 能源、 电信等领域， 成为全球 APT 活动关注的首要目标。◆ 2020 年，疫情热点信息成 APT 活动常用诱饵；供应链和远程办公成为切入点；定向勒索威胁成为APT 活动新趋势◆ 海莲花组织依旧是东南亚地区最为活跃的 APT 组织。关键字：全球高级持续性威胁、APT、攻击组织、行动报告、定向攻击、网络犯罪目 录 01010103030707081011121318212629321 邮箱：ti_support@qianxin.com 电话：4009-303-120 官网：https://ti.qianxin.com 第四章 针对中国高级持续性威胁 一、东亚地区组织对中国的攻击活动二、南亚地区组织对中国的攻击活动三、东南亚地区组织对中国的攻击活动 第五章 APT 活动的技术趋势 一、0DAY、1DAY 与 APT 威胁二、移动终端场景 APT 威胁 第六章 2021 年高级持续性威胁预测 一、疫苗及相关产业将会遭到持续攻击二、针对中国的 APT 行动将持续加剧三、远程办公各个环节都将遭受 APT 攻击四、地区冲突将引爆更激烈的网络战五、网络武器库的泄露或将常态化六、APT 组织可能组建基于 5G 与 IPV6 技术物联网僵尸网络 附录 1 全球主要 APT 组织列表附录 2 奇安信威胁情报中心附录 3 红雨滴团队 (RED DRIP TEAM) 全球高级持续性威胁（APT）2020 年度报告目录 /全球高级持续性威胁（APT）2020 年度报告 3333333435354142424242434343454849 第一章 全球高级持续性威胁综 /全球高级持续性威胁（APT）2020 年度报告 第一章 全球高级持续性威胁综述 公开来源的 APT 情报（以下简称“开源情报”）分析是了解全球网络安全研究机构安全关注，认知全球高级持续性威胁发展趋势的重要手段之一。2020 年，奇安信威胁情报中心对全球 200 多个主要的 APT类情报来源进行了持续监测，监测内容包括但不限于 APT 攻击组织报告、APT 攻击行动报告、疑似 APT的定向攻击事件、APT 攻击相关的恶意代码和漏洞分析，以及我们认为需要关注的网络犯罪组织及其相关活动。但由于来源众多，监测可能有所遗漏，敬请谅解。本章内容及结论主要基于对上述开源情报以及内部威胁雷达数据的整理与分析。 一、全球高级威胁研究情况 奇安信威胁情报中心在 2020 年监测到的高级持续性威胁相关公开报告总共 642 篇。 各月监测数据如图 1.1所示。 2020 年全球每月公开的高级威胁报告数量统计 图 1.1 2020 年全球每月公开的威胁报告数量统计Jan43 May39 Sep58 Feb56 Jun35 Oct70 Mar61 Jul49 Nov42 Apr67 Aug41 Dec81 二、受害目标的行业与地域 2020 年，新冠疫情席卷全球，从而带来新的网络攻击变化。通过开源情报并结合奇安信威胁情报中心威胁雷达数据显示：在全球 2020 年披露的 APT 相关活动报告中，涉及医疗卫生行业的事件占比为23.7%，其次是政府（包括外交、政党、选举相关）22.5%，金融（包括银行、证券、数字货币等）、教育和国防（包括军事、军工、国防相关）紧随其后。这也是医疗卫生行业史上首次超过政府、金融、国防、能源、电信等领域，成为全球 APT 活动关注的首要目标。3 2 全球高级持续性威胁（APT）2020 年度报告 邮箱：ti_support@qianxin.com 电话：4009-303-120 官网：https://ti.qianxin.com第一章 全球高级持续性威胁综述 /全球高级持续性威胁（APT）2020 年度报告 2020 年高级威胁事件涉及行业分布情况 科研 8.1%互联网 3.2%半导体 2.4%航空 1.5%医疗 23.7%其他 3.1% 政府 22.5%金融 13.3%教育 12.8%国防 9.4% 本次报告对开源情报中高级威胁活动涉及目标的国家和地域分布情况进行了分析和整理，监测显示高级威胁攻击活动几乎覆盖了全球绝大部分国家和地区。其中，开源情报中提及率最高的五个受害国家分别为：中国占比 7.4%，韩国：6.6%，美国：4.9%，巴基斯坦：3.2%，印度：3.2%。中国首次超过美国、韩国、中东等国家和地区，成为全球 APT 攻击的首要地区性目标。高级威胁事件涉及行业分布情况 图 1.2 2020 年高级威胁事件涉及行业分布情况 图 1.3 2020 年公开高级威胁针对国家 / 地区分布情况三、活跃高级威胁组织情况 本次报告对开源情报中所提及的所有 APT 组织及相关行动进行了分析和整理。其中，提及率最高的五个APT 组织分别是：Lazarus：10.3%， Kimsuky：7.8%， 海莲花：5.4%， Darkhotel：4.8%， 蔓灵花：3.2%。图 1.4 给出了 2020 年开源情报披露的活跃 APT 组织，字体越大，被披露次数越多。 四、高级威胁年度活动特点 图 1.4 2020 年主要 APT 组织相关报告情况统计 2020 年，新冠肺炎疫情爆发。在此疫情形势下，APT 活动的活跃程度似乎并未受到影响，反而借用疫情热点事件内容为诱饵的攻击活动变得越发频繁。根据奇安信威胁情报中心的监测，2020 年上半年，在针对我国的高级威胁活动中，就已经出现了大量以各类疫情热点信息为关键词的诱饵文件（诱骗吸引受害者打开的，含有恶意程序的各类文档）。2020年 3 月下旬，奇安信曾发布《COVID-19 | 新冠病毒笼罩下的全球疫情相关网络攻击分析报告》一文，披露了 2020 年第一季度疫情相关攻击活动。 （一）疫情热点信息成 APT 活动常用诱饵5