2023年度APT報告發布，“魚叉郵件”為主要初始入侵手段

近日，奇安信威脅情報中心發布《全球高級持續性威脅（APT）2023年度報告》（以下簡稱《報告》），基于奇安信威脅雷達監測數據，同時結合全網開源APT情報，對全球范圍內APT攻擊進行了全面梳理?！秷蟾妗凤@示，在2023年全球至少有80個國家遭遇過APT攻擊，其中大部分受害者集中在中國以及東亞、東南亞、南亞等中國周邊地區。

《報告》顯示，2023年受到APT攻擊的國家主要包括韓國、印度、巴基斯坦、中國、俄羅斯、日本、美國、烏克蘭等國?？梢钥闯觯艿鼐墰_突影響，俄烏地區、巴以地區，都是APT攻擊的重點地區。

就中國境內而言，東南沿海地區是受害“重災區”。根據奇安信威脅雷達的監測數據，廣東、江蘇、上海、浙江等沿海省份是境外APT組織攻擊的主要目標地區，其次是北京、四川、安徽等地。

進一步來看，通過奇安信威脅雷達的遙測感知和奇安信紅雨滴團隊基于用戶現場的APT攻擊線索，并結合使用奇安信威脅情報的全線產品告警數據進行分析，2023年涉及政府機構、科研教育、信息技術、金融商貿、能源行業的高級威脅事件在我國占主要部分，占比分別為：20.4%，18.4%，17.3%，12.2%，10.2%。其次為國防軍事、新聞媒體、醫療衛生等領域。其中政府機構長期受到APT組織的重點關注，另受貿易、科技等多方面因素影響，科研教育、信息技術等領域受到攻擊的頻率正持續升高。

奇安信威脅情報中心通過梳理奇安信紅雨滴團隊和奇安信安服在用戶現場處置排查的真實APT攻擊事件，結合使用威脅情報的全線產品告警數據觀察到，10余個APT組織頻繁針對國內重點目標展開攻擊。

基于奇安信威脅雷達的測繪分析，2023年對我國攻擊頻率較高的APT組織為：APTQ27 (金眼狗)、APTQ29 (Winnti)、APTQ1 (Lazarus)、APTQ31 (海蓮花)、APTQ36 (Patchwork)、APTQ20 (毒云藤)、APTQ12 (偽獵者)等，這些組織疑似控制我國境內IP地址的比例分別為：24.2%，11.6%，9.7%，7.8%，7.7%，7.5%，5.6%。其中，金眼狗控制境內的IP地址數量最多，毒云藤擁有的攻擊服務器（C2，控制與命令）最多。

進一步對這些APT組織的C2服務器及其控制的境內IP地址數據分析發現，毒云藤、海蓮花、APTQ15、BerBeroka幾個組織使用大量C2針對境內目標進行攻擊，表明其可能擁有龐大的基礎設施；Winnti、Lazarus、APTQ12、APTQ78等組織僅使用少量C2就控制了境內相當數量的IP地址，可見其可能擁有較高水平的攻擊技術。

另外，FaceduckGroup是今年首次發現針對國內的攻擊團伙；APTQ77開始將目標轉向芯片領域；APTQ15是自2022年開始持續跟蹤的新組織，主要攻擊朝鮮和中國大陸。

從攻擊手法來看，有的組織繼續沿用以往的攻擊模式，而有的組織攻擊手法特點則呈現出一定的變化，但總體來看，“魚叉郵件”仍是主要的初始入侵手段，個別APT組織還會通過社工、Web層面的0day/Nday漏洞作為攻擊入口。

在0day漏洞使用方面，2023年奇安信威脅情報中心關注到重點在野0day漏洞共59個。在野0day的利用數量相較2022年有所上升，趨勢上逼近作為歷年峰值的2021年。微軟、谷歌、蘋果三家的產品漏洞依然占主要部分，而與往年有所不同的是，蘋果產品的漏洞在數量上超過微軟、谷歌。

需要注意的是，國產軟件漏洞正在被越來越多的境外APT組織用于攻擊境內目標。由于大部分國產軟件僅供中國用戶使用，因此這些漏洞極易被境外APT組織用于定向攻擊境內目標。奇安信威脅情報中心認為，隨著大批量國產化軟件普及，針對國產軟件的攻擊及相關0day漏洞不斷涌現，確保這些軟件的安全性勢在必行。

APT攻擊愈演愈烈，如何才能有效應對？奇安信威脅情報中心專業人士建議，首先要樹立良好的網絡安全意識，不接收未知來源的郵件，不下載安全性未知的軟件，不訪問可疑的網站，不使用簡單密碼并定期更換；

其次，建立健全系統安全機制，梳理IT資產，收斂資產暴露面，從而增強系統本身的安全強度；

第三，建設內生安全的縱深防御體系和全網無死角態勢感知能力，結合威脅情報和大數據關聯分析，確保及時發現攻擊行為；

第四，定期開展滲透測試、實戰攻防演習等，及時找出安全防御的薄弱環節，并在實戰中不斷提升攻防對抗能力；

第五，一旦發現APT攻擊事件，應當及時準確上報，不瞞報不漏報，聯合監管機構、安全廠商以及社會各界力量，將影響控制在低水平。（孔繁鑫）

來源： 光明網