8月26-28日，2021北京網絡安全大會（BCS 2021）正式召開。期間，在TI INSIDE生態聯盟發布會上，奇安信威脅情報中心發布了《全球高級持續性威脅（APT）2021年中報告》（以下簡稱《報告》），系統總結了今年上半年主要攻擊活動，及其背后所呈現出的ATP攻擊新態勢。

APT攻擊活動最黑暗的半年

《報告》指出，2021年上半年以來，被曝光的APT組織使用的在野0day漏洞數量陡然劇增，出現的頻次之高歷年罕見，其中Windows操作系統、Chrome瀏覽器、Adobe Reader PDF閱讀器等具有壟斷地位的系統和產品均受到了不同程度的影響。在《報告》看來，隨著網絡武器威力和攻擊規模的持續增大，今年上半年也許是近年來APT攻擊活動最黑暗的半年。

在愈演愈烈的APT攻擊中，一個新的趨勢是，APT攻擊團伙攻擊目標開始更加側重于在供應鏈中負責提供服務的公司。例如，去年12月，黑客在針對網管軟件提供商SolarWinds發動了供應鏈攻擊，在軟件更新包中植入了后門程序，全球超過18000家機構都受到了此次事件的影響；又例如，全球航空電信協會SITA——管理著全球超過400家航空公司的機票和旅客數據處理，便曾在今年3月宣布服務器被黑客通過高度復雜的攻擊手段入侵。而在國內，奇安信威脅情報中心也曾監測到多起安全公司被入侵造成的供應鏈攻擊事件。

不過，相比之下，常用軟件包括安全軟件或管理平臺本身的服務器被入侵導致供應鏈攻擊的事件依舊為主流。而且，為了竊取新的0day漏洞加以利用，APT組織開始嘗試借助社會工程學來攻擊安全研究人員。相關攻擊手段包括仿造虛擬安全人員身份、建立含瀏覽器0day漏洞的安全分析博客、通過社會工程學與他人建立聯系以發送含惡意代碼的漏洞利用工程等，令人防不勝防。

俗話說“道高一尺，魔高一丈”，在同APT組織的對抗中，安全廠商也逐漸總結出了新的方法論。例如，在Solarwinds事件發生后，美國聯合多個安全廠商同樣進行了集中式的復盤分析，并從中找出大量攻擊線索并提出各類解決方案。未來，類似這樣的復盤分析或將成為處置APT事件的常規方法。

在野0day狂潮下的 APT 攻擊活動

無論如何，針對性減輕在野0day漏洞風險，仍是現階段抵御APT 攻擊的當務之急。

《報告》顯示，僅2021年上半年，APT組織在野利用的0day漏洞數量超過40個，在網絡安全歷史上堪稱空前。而且，這種攻擊呈現出“以Windows平臺為基礎，Chrome/Safari瀏覽器為主流向著多平臺延伸”的趨勢。

以Windows Defender最新爆出的0day漏洞Achilles——阿克琉斯為例，該漏洞為Windows Defender在指令模擬執行進行Asprotect解壓過程中的一處堆溢出漏洞，若成功利用，將在未打補丁的目標機器上導致遠程代碼執行。簡單來說，Windows Defender會默認在后臺持續掃描樣本，因此當未知APT組織將樣本投遞（郵件下發或瀏覽器利用）到默認使用Windows Defender作為殺軟的用戶時將觸發漏洞，并直接執行惡意代碼。

除此之外，Windows操作系統、Windows Exchange Server、Microsoft Office、Adobe Reader、IOS、Android等主流平臺和產品，也都先后因在野0day漏洞而被ATP組織攻擊。在此基礎上，可以預見的是，接下來的整個2021年應該是在野0day漏洞利用爆發的一年，而0day漏洞也將更廣泛的被用于高級威脅攻擊中。

值得一提的是，從地緣分布來看，目前活躍度最高的ATP組織居然分布在東歐地區。其中，一個顯著標志是，Solarwinds供應鏈事件中使用惡意軟件與東歐地區APT29組織的惡意軟件Kazuar在代碼方面高度相似。基于此，US-CERT（美國國土安全部計算機緊急事務響應小組）直接將其認定為Solarwinds供應鏈事件的幕后元兇。除此之外，東亞、東南亞、南亞次大陸和中東地區，也是ATP組織活躍度較高的區域，需要格外留意。

總結

從2021年上半年發生的APT攻擊活動不難發現，全球APT組織為達成攻擊目的不惜花費巨額資金和人力成本，比如投入使用價值不菲的大量高價值0day漏洞等。在此基礎上，0day漏洞或是更為復雜的木馬勢必會不斷出現，ATP安防形勢也將持續面臨考驗。

為此，奇安信早在2015年便成立了威脅情報中心，專注于APT攻擊類高級威脅的研究。據悉，威脅情報中心紅雨滴是國內首個發布并命名“海蓮花”（APT-C-00，OceanLotus）APT攻擊團伙的安全研究團隊，也是當前奇安信威脅情報中心的主力威脅分析技術支撐團隊。

依托全球領先的安全大數據能力、多維度多來源的安全數據和專業分析師的豐富經驗，紅雨滴團隊能夠實現高效的威脅發現、損失評估及處置建議提供，同時也為公眾和監管方輸出事件和團伙層面的全面高級威脅分析報告。自創立以來，紅雨滴團隊已發現多個在中國境內活動的ATP團伙，并發布國內首個團伙層面的APT事件揭露報告，開創了國內APT攻擊類高級威脅體系化揭露的先河，目前已經成為國家級網絡攻防的焦點。

隨著互聯網在國民經濟建設中的重要性進一步凸顯，網絡安全建設的權重也將隨之提升。作為中國企業級網絡安全市場的領軍者，未來奇安信將秉持“數據驅動安全”的技術思想，基于內生安全框架，迭代式推出新的產品和服務，挖深筑牢網絡安全的護城河。

查看報告全文可訪問：

https://mp.weixin.qq.com/s/bJ1-aI3WWQQvleEaRhAlag