安恒信息威脅情報中心根據對2021全年攻擊事件的(de)檢測和(hé)分(fēn)析,重磅發布《2021威脅态勢研究報告》(以下(xià)簡稱報告),分(fēn)别從威脅攻擊、攻擊團夥活動、重大(dà)攻擊事件、在野0day利用(yòng)情況四方面進行分(fēn)析總結,并提供了(le)對2022攻擊态勢的(de)七點研判預測。
2021威脅态勢概況
➤威脅攻擊篇
攻擊事件主要集中在南(nán)亞和(hé)中東
2021年發生了(le)約201起APT攻擊事件,主要集中在南(nán)亞和(hé)中東,其次是東亞地區,東南(nán)亞地區的(de)APT組織攻擊有所放緩。其中Lazarus、Kimsuky、APT29等組織行動較爲頻繁。
新增受害
從受害者的(de)分(fēn)布分(fēn)析,韓國、美(měi)國遭到的(de)攻擊占比更高(gāo),比重分(fēn)别爲11.67%、10.55%。APT組織正嘗試擴大(dà)攻擊範圍,因此出現了(le)一些新的(de)受害,例如阿富汗、哥(gē)倫比亞、格魯吉亞、拉脫維亞等。
金融、航空、醫療部門成重點目标之一
根據行業分(fēn)布來看,政府部門和(hé)國防部門仍是其主要的(de)針對目标,攻擊事件占比達到15.52%、6.16%。其次是金融、航空,以及醫療衛生行業。這些行業的(de)公司内部包含高(gāo)價值的(de)情報。醫療衛生行業儲存大(dà)量關于新冠疫苗的(de)重要信息,2021年也(yě)出現了(le)以生物(wù)制造設施爲目标的(de)APT攻擊活動。
➤攻擊團夥活動篇
勒索犯罪産業高(gāo)速發展
2021年發生了(le)約2000多(duō)起勒索軟件攻擊事件,Conti、LockBit、Hive、BlackMatter爲今年活躍的(de)勒索軟件組織。對關鍵基礎設施的(de)勒索攻擊會給全球實體造成巨大(dà)影(yǐng)響。各國政府拟定政策打擊網絡犯罪活動, Avaddon、BABUK、DarkSide在内的(de)勒索團夥等宣布解散退出。但這種行爲可(kě)能隻是爲了(le)分(fēn)散執行人(rén)員的(de)注意力或逃避經濟制裁,這些組織會進行再次重組并繼續進行勒索攻擊活動。報告重點介紹Conti、LockBit 2.0、Hive、BlackMatter四個勒索軟件團夥。
過去幾年勒索軟件組織品牌重塑的(de)大(dà)緻時間線
間諜軟件成爲巨大(dà)潛在威脅
間諜軟件也(yě)是在2021年引起高(gāo)度關注的(de)威脅,其具有高(gāo)複雜性、難追溯性等特點。商業間諜軟件行業能夠提供豐厚的(de)利潤回報,因此間諜軟件服務逐漸成爲複雜、國際化(huà)、具有巨大(dà)潛在威脅的(de)産業。報告重點介紹NSO Group、Candiru和(hé)Cytrox三款間諜軟件。
➤六大(dà)網絡攻擊事件
Solarwinds軟件供應鏈攻擊事件;
黑(hēi)客入侵佛羅裏達水(shuǐ)廠系統投毒事件;
DarkSide組織攻擊美(měi)國輸油管道運營商事件;
Revil組織利用(yòng)Kaseya産品漏洞發起大(dà)規模供應鏈勒索攻擊;
Lazarus組織持續針對安全研究人(rén)員;
Log4j漏洞事件。
➤在野0day總結
數量超過去年兩倍
2021年披露的(de)在野0day數量達到58個,超過了(le)2020年的(de)兩倍。按影(yǐng)響産品劃分(fēn),占比更大(dà)是浏覽器漏洞,其次是操作系統漏洞,分(fēn)别占比45%和(hé)29%。按漏洞類型劃分(fēn),占比最多(duō)的(de)是遠程代碼執行漏洞,其次是權限提升漏洞,分(fēn)别占比57%和(hé)35%。
8個重點事件
蔓靈花組織使用(yòng)0day;
朝鮮APT組織使用(yòng)社會過程學和(hé)浏覽器0day攻擊安全研究人(rén)員;
多(duō)個Exchange 0day橫空出世;
Chrome 0day數量連續第二年大(dà)幅增加;
Windows提權0day數量較往年翻倍;
蘋果産品的(de)0day數量爆發式增長;
IE 0day數量依然較多(duō),與Office結合更爲深入;
AdobeReader 0day重現江湖。