RESEARCH REPORT全球高级 持续性威胁2021 研究报告上半年 ▪ 攻击概览 ▪ 2021上半年活跃组织 ▪ 2021上半年攻击态势总结 ▪ 关键核心战场态势cont ents 2021上半年攻击概览 2021上半年活跃组织 009 南亚 015 东亚 021 东南亚 025 东欧 029 中东 2021上半年攻击态势总结 033 全球疫情严峻形势下针对我国的攻击持续活跃 036 APT 攻击紧跟时事热点 038 仿冒目标单位邮箱系统集中钓鱼攻击频发 040 2021 上半年 0day漏洞攻击频发 042 勒索攻击 APT化 ，高 级 威 胁 技 术 、定 向 攻 击 手 段 层 出 不 穷 045 针对安全研究人员的社会工程学定向攻击01 02 03关键核心战场态势 048 政府、 科研是重灾区， 医疗、 媒体威胁凸显 049 城市数字化转型下 APT威胁加剧 051 ICT 供应链攻击威胁进一步升级 052 针对高等学校的攻击活动实则瞄准了我国国防军工和科技创新体系 056/附录04 05cont entspart 01006 RESEARCH REPORT 2021年上半年， 全球高级持续性威胁 （ APT） 整体形势依然严峻， 发现和披露的 APT攻击活动较去年同 期大幅增加。 上半年全球公开报告数量 492篇 ，其 中 披 露 的 攻 击 活 动 涉及 APT组织90个，首 次 披 露 的 组 织 17个， 无论报告数量还是组织数量都已超去年同期。 从全球范围看， APT攻击活动还是重点关注政治、 经 济等时事热点。 目标主要针对政府、 国防军工、 科研等行业领域。 今年全球疫情仍然肆虐， 局部地区疫情形 势相比去年甚至更加严峻， 围绕 “新冠疫情” 开展的相关攻击活动继续处于高位。 上半年攻击活动中利用 的0day漏洞数量已超过去年全年总和， 达到历史新高。 上半年爆发的针对美国最大燃油管道运营商和爱 尔兰卫生服务部门在内的一系列针对关键基础设施的勒索攻击事件， 体现出勒索攻击不断 APT化的发展趋 势。 勒索威胁逐渐上升到事关国家安全的层面， 已成为全球网络安全的共同挑战。 今年上半年， 我国率先进入疫情后全面经济复苏和建设阶段， 在此新形势下， 境外 APT组织针对我国的攻 击持续活跃， 较去年同期大幅上升。 依托强大的安全能力， 360在过去累计发现了 46个其他国家背景的 APT组 织 ，监 测 到 3600多次对中国的国家级网络攻击。 上半年， 360捕获到对中国地区发起攻击涉及的 组织12个，其 中 首 次 发 现 的 组 织 2个 ：芜 琼 洞 、伪 猎 者 。针 对 中 国 地 区 的 APT攻 击 事 件 统 计 结 果 显 示：境 外 APT组织依然针对我国政府、 科研和国防军工等领域重点目标， 其中来自于东亚、 南亚和东南亚的 APT组 织针对我国攻击最为活跃。对向教育领域高等学校的攻击活动进行分析发现， 攻击瞄准的目标实则是我国 国 防 军 工 和 科 技 创 新 体 系 ，反 映 出 APT组织通过对关键行业横向领域的攻击和渗透， 从而进一步实现对目 标行业的攻击。 在南亚、 东南亚地区疫情反弹期间， 针对医疗卫生、 媒体行业的攻击凸显。 另外， 针对城市 区域性的攻击威胁持续不断， 加以万物互联下， 智慧城市的攻击面不断扩大， 城市数字化转型下 APT威胁 加剧。 ICT供应链攻击威胁进一步升级， 针对中介招标代理机构的攻击愈发频繁。 今年是 “十四五” 开局之年， 我国将开启全面建设社会主义现代化国家新征程、 向第二个百年奋斗目标进 军， 随着数字经济进入新的发展阶段， 我国网络安全建设面临着新的挑战和不稳定因素。 此次疫情加速了 全球政治经济格局重塑， 未来在后疫情时代， 全球经济逐步进入复苏阶段。 在地缘政治、 治理体系潜在风 险等因素的影响下， 加之世界经济重心东移趋势日显， 势必会导致大国博弈更加激烈。 在此新形势下， 针对 我国的国家级网络攻击， APT组织的数量和活跃程度以及攻击技战术的复杂度， 或将超过以往。 国家级的 高级威胁防御领域更加需要包含 360政企安全在内的广大网络安全企业和从业者同心协力， 为国家各项 基础设施建设保驾护航， 守卫社会主义现代化建设成果， 为坚定不移建设制造强国、 质量强国、 网络强国、 数字中国贡献力量。2021上半年攻击概览part 02008 RESEARCH REPORT 2021上半年活跃组织 360高级威胁研究分析中心监控发现， 2021年上半年全球活跃的 APT组织有 90个，其 中 有 17个是首 次披露。 针对我国攻击活跃的 APT组织有 12个，其 中 新 发 现 暂 未 被 其 他 厂 商 披 露 的 APT组织有两个： APT- C-59 （ 芜 琼 洞 ）、 APT- C- 60 （伪猎者） 。 毒云藤、 蔓灵花和海莲花这三个组织针对我国的攻击活 动最为活跃， 长期持续攻击我国多个行业领域重点目标。 Darkhotel 、 响尾蛇组织相比去年攻击频次有所 减弱， 但呈现阶段性集中攻击后快速隐匿现象。 另外比如 CNC、 新组织芜琼洞短期集中攻击特性更为明 显， 尤其在其关注的热点事件先后活动最为频繁。 基于相关攻击频次、 被攻击单位数量、 受影响设备数量、 技战术迭代频次等多个指标， 我们对今年针对中国 地区发起攻击的 APT组织进行综合评估， 得出 APT组织的攻击活跃度排名。 排名 组织名称 涉及行业 TOP1 APT-C- 01 （毒云藤） 政 府 、教 育 、科 研 等 TOP2 APT-C- 08 （蔓灵花） 教 育 、军 工 、科 研 等 TOP3 APT-C- 00 （海莲花） ICT供 应 商 、政 府 、教 育 等 TOP4 APT-C- 06 （Darkhotel ） 贸 易 、科 研 、媒 体 等 TOP5 APT-C-59 （芜琼洞） 媒 体 、科 研 、医 疗 等 TOP6 APT-C-48 （CNC） 教 育 、科 研 TO P7 APT-C-55 （Kimsuky ） 政府 TOP8 APT-C- 60 （伪猎者） 贸 易 、政 府 TOP9 APT-C-24 （响尾蛇） 政府、 医疗、 建筑 TOP10 APT-C-47 （旺刺） 贸 易 、制 造 、建 筑 2021年上半年针对中国地区 TOP10 境外APT组织009 RESEARCH REPORT 1.南亚 南亚地区 APT组织常年活跃， 针对我国和其他南亚地区国家， 主要围绕地缘政治相关。 从去年下半年开始 南亚APT组织攻击活动不断活跃， 相关上升趋势一直持续至 2021年5月 初 ，尤 其 今 年 第 一 季 度 相 关 攻 击 较去年大幅增加， 主要涉及教育、 政府和国防军工多个领域。 而从 5月之后攻击有所减缓， 但陆续出现多起 针对我国医疗卫生机构的攻击活动， 我们推测近期攻击活动减缓和针对医疗行业更具针对性， 可能是由于 4月份， 南亚地区疫情再次爆发有关。 今年上半年蔓灵花组织针对我国的攻击活动最为活跃， 相比之下响尾蛇、 CNC攻击频次较低但更具针对 性。 除蔓灵花以外， 肚脑虫、 透明部落、 幼象等其他组织主要针对巴基斯坦、 印度等南亚国家。 010 RESEARCH REPORT 01.APT-C-08 （蔓灵花） 从去年 9月份开始出现的 chm文档攻击方式中， 蔓灵花会通过 chm文件中内嵌的脚本创建计划任务周期 性的从远程服务器加载 msi文件。 通过该方式达成无文件的 Downloader, 加大安全人员分析难度， 提高 其攻击流程结构的隐蔽性 ,此类攻击方式在今年更加主流。 除鱼叉邮件附件投递之外， 更多还是仿冒目标单 位邮箱系统的钓鱼网站攻击， 其占比达到 7成。 去年年底蔓灵花组织积极探索的一种新型供应链攻击， 今年 已成常态主流。 这类攻击目标并不是供应商和最终目标需求方， 而是针对起到中介服务的招标代理机构。 在锁定重点目标后， 蔓灵花组织进一步会不惜采用 0day漏洞进行渗透攻击。 今年上半年披露的 0day漏 洞 攻 击 已 有 两 起 ，今 年 2月， 国内安全厂商安恒信息年初披露了该组织 2020年12月的攻击活动中1，使 用 了WINDOWS 内核提权 0day漏 洞（ CVE-2021-1732 ）。 另外在广泛使用的仿冒目标邮箱系统的钓鱼攻击中， 蔓灵花除了克隆目标邮件系统以外， 还会使用某一文 档文件作为背景。 当登录成功后则跳转至该文档文件的页面， 使得钓鱼网站更加难以辨别。 图1.蔓灵花 -诱饵文档作为背景实例 1 图2.蔓灵花 -诱饵文档作为背景实例 2图1 图2