2019全球高级威胁（APT）报告：金融、能源和电信是主要目标

　　近日，奇安信威胁情报中心发布《全球高级持续性威胁(APT)2019年报告》，揭示了过去一年全球APT发展态势。

　　2019年全年，奇安信威胁情报中心收录了高级威胁类公开报告总共596篇，其中涉及了136个命名的攻击组织或攻击行动，几乎覆盖了全球绝大部分国家和区域。无论是披露的APT攻击组织还是攻击数量，相比于2018年(报告478份，威胁来源109个)都有较为明显的增长。

　　从受害行业来看，政府(包括外交、政党、选举相关)和军事(包括军事、军工、国防相关)依然是APT威胁的主要目标，能源(包括石油、天然气、电力、民用核工业等)、通信行业也是APT攻击的重点威胁对象。

　　场景多样化的APT攻击方式

　　1、 利用广域网的网络协议实施BGP和DNS劫持

　　奇安信威胁情报监测发现，部分APT组织和攻击活动利用广域网的网络协议，实施DNS劫持、BGP劫持。广域网下的DNS劫持、BGP劫持可以让攻击者将目标的网络流量重定向自身的控制基础设施，从而实现数据监听、收集、破坏等目的。值得关注的是，为广域网提供基础设施服务的ISP、域名服务商、CDN服务商都有可能成为APT威胁的目标。

图：奇安信威胁情报中心整理的近两年来DNS和BGP劫持的恶意攻击活动

　　更有甚者，在斯诺登泄露的文档中，曾披露过某国通过其具备的广域网下部分骨干节点的控制能力，用于数据监听和情报收集。但APT组织往往不具备对骨干网等核心基础设施的控制能力，其只能通过广域网的劫持攻击来达到类似的目的。

　　2、利用供应链攻击实施APT攻击

　　2019年，利用供应链的攻击在APT活动中时常有发生。从过去的供应链攻击来看，其一方面通过攻击软件供应链的各个环节，包括第三方库的引用，开发人员，产品构建阶段，另一方面通过攻击和目标相关的IT供应商、软件供应商、硬件供应商、合作伙伴等。攻击者针对带有签名的合法应用、预装程序植入后门，能够实现更加隐蔽的攻击立足效果。

图：奇安信威胁情报中心整理的2019年的APT类供应链攻击活动

　　3、攻击移动端实施监控和窃听

　　针对智能手机是APT威胁的另一个威胁场景，其主要的目的在于实现监控和窃听，并针对特定的个人或群体。在过去的移动APT活动中，攻击者通常通过远程代码执行漏洞、钓鱼消息或者将间谍软件混入应用市场等方式在智能手机中植入后门程序，获取包括短信、通讯录、定位、文件、应用数据、录音和录像的数据。

　　例如在去年某次公开活动中披露的Simjacker漏洞，攻击者可以通过攻击SIM卡上的应用缺陷实现，并已经被用于攻击南美地区国家的用户手机。有意思的是，奇安信威胁情报中心发现，在手机间谍应用和监控系统的背后，不乏存在不少网络军火商的身影，他们提供针对Android、iOS的监控系统和木马，并且利用漏洞利用链植入后门程序。

　　0day漏洞和在野利用攻击

　　奇安信威胁情报中心在多次APT攻击中，都发现了0day漏洞在野利用(指被捕获的攻击活动中利用的0day漏洞)的身影。与已知漏洞成熟的利用链相比，0day漏洞更具隐秘性，往往能够绕过绝大多数网络安全设备的检测，因此一直是实施APT攻击的重要利器。

　　奇安信威胁情报中心整理了2019年用于攻击活动的漏洞列表(见下表)。相比2018年来说，在野攻击活动中利用的文档型0day漏洞并未发现，针对浏览器的远程代码执行漏洞数量提升，并且配合沙盒逃逸和提权漏洞使用。

　　不过，奇安信威胁情报中心发现并不是所有的APT组织都具备独立挖掘0day漏洞的能力，因此部分APT组织会在网络黑市购买0day漏洞，用于大幅提升自身的APT攻击能力。通常情况下，0day漏洞都可以在黑市被卖到极高的价钱。受利益所驱，网络军火商往往充当着0day漏洞和网络武器交易市场的重要角色，像Gamma、Hacking Team、NSO Group都是知名的网络军火商，其开发一套完备的网络监控系统并出售给其客户。

图：部分网络军火商、APT组织与0day漏洞之间的关系

　　金融、能源和电信成为APT攻击的主要行业目标