2020年，以“COVID-19”疫情為主題的魚叉攻擊已成為APT組織的慣用手法， 遠程辦公成為APT攻擊的“眾矢之的”……

2020年，亞洲是APT攻擊最活躍的地區，另外中東與東歐也相對頻繁。由此可見，APT攻擊更“青睞”于局勢敏感以及動蕩的地區……

2020年，APT即服務快速發展，雇傭組織在基于經濟利益的基礎上會對外提供攻擊服務……

據深信服千里目安全實驗室發布的《2020年網絡安全態勢洞察報告》（以下簡稱報告），2020年，APT通過社會工程學，借“COVID-19”上位，并呈現出許多新的特點和發展趨勢。

APT攻擊區域性特征依舊明顯，雇傭組織提供APT服務成趨勢

據《報告》顯示，2020年，APT組織區域性特征依舊明顯，主要活躍在東亞、東南亞、南亞、東歐等局勢敏感以及動蕩的地區。

東亞地區是APT組織的首選目標，活躍在東亞地區的Lazarus以及DarkHotel 更是 APT組織中的頂級組織。

東南亞地區比較活躍的APT組織為OceanLotus，也叫做海蓮花組織，2020年其主要對周圍地區相關國家以及本國海內外異見人士進行攻擊與信息監聽，今年其最大的變化是在攻擊行動中進行虛擬數字貨幣挖礦活動。

南亞地區的相關APT組織在2020年對中國發起的攻擊是最為活躍，其中包括了BITTER、摩訶草、Confucius、SideWinder等。

東歐地區的APT組織攻擊活動主要以中東、歐洲以及北美地區作為主要目標，2020年東歐地區相對比較活躍的組織有Gamaredon、APT28以及APT29（WellMess）組織，其中WellMess涉及國內相關攻擊活動。

目前，APT攻擊可以認為是最先進的網絡攻擊形式，是當前網絡安全防護的重點。除傳統傳統上出于政治或經濟動機的老練攻擊者攻擊外，國內外安全廠商陸續披露了多個“雇傭黑客”組織的攻擊行為。

以2020年被披露的雇傭黑客組織DeathStalker為例，該組織主要針對從事金融業或金融業合作的實體，包括法律辦事處、財富咨詢公司和金融技術公司，其對我國也發起過相關攻擊行動。

雇傭黑客組織使用的戰術、技術和程序上已經達到了國家級的水平，其會向出價最高的人提供網絡間諜服務，這可能是未來高級威脅攻擊的新趨勢，即APT即服務。

除了區域特征明顯，APT攻擊發展還有三大顯著特征

《報告》指出，從APT整體活動來看，未來，局勢敏感以及動蕩的地區相關的APT攻擊活動會更加頻繁，未來地緣政治仍然是APT威脅組織的重要目標，此外，APT攻擊發展還有三大顯著特征：

【特征1】漏洞開發與0day網絡軍火商興起

漏洞是APT武器庫中不可缺失的資產之一，包括但不限于系統漏洞、應用漏洞（如IE、Firefox、Exchange）、網絡基礎設施（路由器、網絡邊界產品）漏洞，該漏洞庫的強大與否取決于APT組織等級。一般性的APT組織會搜集與整理歷史漏洞，并且涉及平臺少；國家級APT組織在歷史漏洞基礎上還會進行0day漏洞挖掘與利用開發。

頂級APT組織會繼續挖掘漏洞與開發相關利用工具；而不具有漏洞挖掘的組織可以通過0day網絡軍火商購買相關的漏洞利用工具。

【特征2】利用入口設備與管理軟件

利用虛擬網絡進行攻擊在很早就已經存在了，因為疫情期間居家辦公以及遠程辦公增多，更多的企業依賴虛擬網絡開展業務。2020年國內外已經出現了多起虛擬網絡漏洞攻擊事件、網絡邊界設備漏洞攻擊事件。

在2020年底時，美國NSA披露俄羅斯相關APT組織正在利用VMware漏洞進行攻擊活動。

未來，APT組織更多聚焦在這類設備與軟件，深入分析該類設備以及軟件，挖掘其中的安全漏洞，實現以點擊面的攻擊效果，甚至達到供應鏈攻擊的效果。

【特征3】多平臺攻擊一體化

除了傳統的Windows、Linux以及MAC OS系統平臺，越來越多的APT組織已經在移動端進行監控布局與攻擊。在2020年，多個APT組織在移動端的攻擊事件不斷被披露，例如BITTER、OceanLotus、Patchwork、SideWinder、Donot等組織。

并且伴隨著物聯網以及5G技術的逐漸發展與完善，APT組織同樣會對該類平臺研究相關的攻擊能力。除了新增其他平臺的攻擊能力之外，多平臺攻擊一體化同樣也是未來的趨勢之一，例如Lazarus組織的三平臺一體化攻擊框架MATA。

此外，《報告》還指出，當前網絡黑產活動專業化、自動化程度不斷提升，技術對抗越發激烈，已逐漸呈現出與APT類似的攻擊特征，兩者之間的技術差異也逐漸模糊，隨著網絡安全形勢的發展，大家在關注APT攻擊的同時，也應該對網絡黑產活動予以足夠的重視。

完整報告可前往深信服官網首頁下載