近年来,伴随中美贸易战、俄乌冲突的接连爆发,国际地缘冲突与贸易摩擦不断加剧,以政府部门、关键基础设施、军工及重要商业、金融企业为重点目标的高级持续性威胁APT攻击事件频发。
APT攻击行为往往经过长期的经营与策划,且具备高度隐蔽性,是一种有组织性的,针对特定目标开展的持续性新型网络攻击。为了捕捉国际大型APT组织的最新动向,洞察国际APT组织攻击目标、攻击手法、攻击范围的变化趋势,FreeBuf咨询特此发布《APT行业洞察——大国摩擦对APT组织的发展影响》报告。
报告关键发现
1. Brute Ratel C4 等高度隐蔽的APT工具将逐渐取代CobaltStrike以及Meterpreter成为未来APT攻击的主流手段,这些工具可绕过传统防病毒与EDR软件的检测。
2. APT组织将继续维持对于0day及热门高危漏洞的高频利用,例如Log4j漏洞被伊朗组织用于分化模块化PowerShell后门,被Lazarus组织利用其传播后门软件NukeSped, 而微软的Follina漏洞一经披露迅速被俄罗斯组织利用针对乌克兰进行攻击。
3. 卫星或将成为APT组织新的攻击入口,造成卫星系统失灵、中断等严重通信干扰与损害。
4. 目前APT攻击已逐渐成为一条成熟的商业链,在勒索软件即服务RaaS模式下,攻击者仅需通过购买黑客开发好的软件即可实现攻击。
5. 俄乌冲突加速了地缘政治引发的APT攻击行为,政府部门、关键基础设施、军工及金融企业将继续成为APT攻击者的重点目标。
APT攻击数量呈爆发式增长
近年来,APT攻击数量呈爆发式增长,威胁态势日趋严峻。Check point报告显示,2022上半年全球APT攻击同比增长高达42%。与此同时Radware的一份关于企业网络安全的调查显示,有超过1/4的企业认为其遭受到的网络攻击来自APT攻击。
APT攻击趋势
从攻击目标来看,通信卫星等关键信息基础设施正逐步成为APT组织攻击的主流。从攻击模式来看,0day及高危漏洞将得到APT组织的高频利用,而Brute Ratel C4 等可绕过传统防病毒与EDR软件的检测的高度隐蔽的APT工具将逐渐成为主流。不仅如此,伴随RaaS模式的盛行,APT攻击目前已形成了一条成熟的商业链,这使得攻击在未来将变得更加容易。
各国政府严厉打击APT攻击行为
随着各国地缘冲突的不断加剧,对抗APT攻击逐渐成为各国政府以及经济体发展网络强国的主要战略目标之一。各国政府高度重视APT防护举措,严厉打击APT攻击行为,美国、欧盟等组织相继针对APT攻击采取制裁行动。 其中包括:美国国家安全局、联邦调查局、CISA(网络安全和基础设施安全局)和英国国家安全委员会联合发布咨询,预警世界各地有数百起暴力入侵未遂事件等。
全球安全供应商APT防护能力表现
AV-Comparatives 在2022年9月-10月期间,在Windows平台评估了9款企业安全产品的APT攻击防护能力,测试一共使用了15个场景,包括:恶意二进制文件执行 x86 shellcode 以通过 http 打开 meterpreter C2 通道,恶意 JavaScript 文件执行 x64 shellcode 以通过 http 打开 meterpreter C2 通道,恶意混淆的 JavaScript 将 x64 shellcode 注入 Office 进程以通过 http 打开 meterpreter C2 通道,恶意 HTA 文件通过 http 打开 meterpreter C2 通道等。Bitdefender以14分的总成绩综合排名第一,在15个测试场景中阻止14个攻击场景建立C2会话,使系统受到保护。整体而言,2022年,俄乌冲突的大爆发使得全球政治局势空前紧张。在此背景下,FreeBuf认为,在未来,地缘政治仍将继续成为APT攻击的主因之一。 国际大型APT组织的主要目标将继续锁定在政府及有关部门、关键基础设施、军工、重要金融及商业领域,其攻击手段将从传统的CobaltStrike以及Meterpreter转向Brute Ratel C4等更加高明、隐蔽的方式,攻击的入口点也将逐渐从系统走向供应链。与此同时,随着卫星干扰逐步成为APT攻击的主流攻击模式之一, 确保卫星通信链路的实时加密、监控日志中的可疑活动至关重要。