奇安信：全球高级持续性威胁（APT）2020年中报告（24页）.pdf

《奇安信：全球高级持续性威胁（APT）2020年中报告（24页）.pdf》由会员分享，可在线阅读，更多相关《奇安信：全球高级持续性威胁（APT）2020年中报告（24页）.pdf（24页珍藏版）》请在三个皮匠报告上搜索。

1、新冠疫情在全球范围的蔓延，导致很多公司和机构采用了远程办公的方式，其通常依赖于 VPN 应用接入企业内部网络，这样也暴露了可用于攻击的重要攻击入口。从历史披露的 APT 活动来看，利用VPN 或远程访问的脆弱性作为攻击入口一直较少被披露过。上半年，有国外 APT 组织利用国内某知名安全公司VPN 的漏洞实现载荷的下发。除此以外，国外安全厂商披露的Fox Kitten组织就利用了多个 VPN 漏洞访问目标内网，其中包括针对Pulse Secure（CVE-2019-11510）、Fortinet FortiOS（CVE-2018-13379）、Palo Alto Networks VPN（CVE

2、-2018-1579）。此外，在疫情期间，DarkHotel和Wellmess组织分别利用我国厂商的VPN漏洞进行攻击，前者在这次行动主要针对基层单位，后者则主要针对中国多家高级别科研机构。当然，无论是手法还是攻击目标，均可见预谋已久。从上半年的全球 APT 组织和活动披露来看，APT 威胁的整体活跃水平还是保持了一个比较高的频度，主要活跃的 APT 组织还是过去熟知的，中东地区依然是 APT 活动最为频繁和错综复杂的地域，活跃着数量众多的 APT 组织。在上半年的公开 APT 类情报中，出现了 4 个新命名的 APT 组织和活动，并且主要活跃于中东地区。1.WildPressureWildP

3、ressure 是卡巴披露的一个恶意攻击活动 1，该活动最早于 2019 年 8 月被发现，其分发了一个成熟的 C + 木马，并且所有的木马文件的编译时间戳都是相同的，均为 2019 年 3 月。唯一实现的加密是针对不同受害者具有不同 64 字节密钥的 RC4 算法。该活动主要针对中东地区的工业相关实体。2. 诺崇狮诺崇狮是由奇安信威胁情报中心新发现并命名的一个 APT 组织 2，该组织活跃在中东地区，其最早的样本文件可以追溯到 2013 年 9 月，在其历史活动中通常利用社交网络（如 Twitter，Telegram，youtube 等）进行非定向的水坑传播式钓鱼攻击及定向目标的鱼叉攻击，并

4、主要针对移动终端实施攻击。3.Fox KittenFox Kitten 是由国外安全厂商 ClearSky 发现并命名的中东地区APT 组织3。ClearSky在2019年第四季度发现其持续三年的攻击活动，该团伙可能和 APT33和 APT34相关，并且也确定了 APT33和APT39之间的联系。相关活动是通过使用各种攻击性工具进行的，其中大多数是基于开放的源代码，而有些是自行开发的。其还利用了 RDP 和 VPN 的漏洞。4.NazarNazar 是国外安全研究人员在OPCDE 会议上公开披露和命名的 APT 活动4，其是对ShadowBrokers 泄露资料中，TeDi签名为SIG37的 APT 组织的归属。而 TeDi 签名是某西方大国情报机构对全球其他 APT 组织和活动的跟踪项目，并且以 sigXX 的形式代号进行命名。CrySyS实验室在此前对 TeDi签名 SIG37归因为IronTiger，而此次安全研究人员对其发表了不同的结论，其实际攻击活动可能和中东地区有关，并且最早可以追溯到2008年，并集中在2010-2013年。