安恒信息威脅情報中(zhōng)心根據對2021全年攻擊事件的檢測和分(fēn)析,重磅發布《2021威脅态勢研究報告》(以下(xià)簡稱報告),分(fēn)别從威脅攻擊、攻擊團夥活動、重大(dà)攻擊事件、在野0day利用情況四方面進行分(fēn)析總結,并提供了對2022攻擊态勢的七點研判預測。
2021威脅态勢概況
➤威脅攻擊篇
攻擊事件主要集中(zhōng)在南(nán)亞和中(zhōng)東
2021年發生(shēng)了約201起APT攻擊事件,主要集中(zhōng)在南(nán)亞和中(zhōng)東,其次是東亞地區,東南(nán)亞地區的APT組織攻擊有所放(fàng)緩。其中(zhōng)Lazarus、Kimsuky、APT29等組織行動較爲頻繁。
新增受害
從受害者的分(fēn)布分(fēn)析,韓國、美國遭到的攻擊占比更高,比重分(fēn)别爲11.67%、10.55%。APT組織正嘗試擴大(dà)攻擊範圍,因此出現了一(yī)些新的受害,例如阿富汗、哥倫比亞、格魯吉亞、拉脫維亞等。
金融、航空、醫療部門成重點目标之一(yī)
根據行業分(fēn)布來看,政府部門和國防部門仍是其主要的針對目标,攻擊事件占比達到15.52%、6.16%。其次是金融、航空,以及醫療衛生(shēng)行業。這些行業的公司内部包含高價值的情報。醫療衛生(shēng)行業儲存大(dà)量關于新冠疫苗的重要信息,2021年也出現了以生(shēng)物(wù)制造設施爲目标的APT攻擊活動。
➤攻擊團夥活動篇
勒索犯罪産業高速發展
2021年發生(shēng)了約2000多起勒索軟件攻擊事件,Conti、LockBit、Hive、BlackMatter爲今年活躍的勒索軟件組織。對關鍵基礎設施的勒索攻擊會給全球實體造成巨大(dà)影響。各國政府拟定政策打擊網絡犯罪活動, Avaddon、BABUK、DarkSide在内的勒索團夥等宣布解散退出。但這種行爲可能隻是爲了分(fēn)散執行人員的注意力或逃避經濟制裁,這些組織會進行再次重組并繼續進行勒索攻擊活動。報告重點介紹Conti、LockBit 2.0、Hive、BlackMatter四個勒索軟件團夥。
過去(qù)幾年勒索軟件組織品牌重塑的大(dà)緻時間線
間諜軟件成爲巨大(dà)潛在威脅
間諜軟件也是在2021年引起高度關注的威脅,其具有高複雜性、難追溯性等特點。商(shāng)業間諜軟件行業能夠提供豐厚的利潤回報,因此間諜軟件服務逐漸成爲複雜、國際化、具有巨大(dà)潛在威脅的産業。報告重點介紹NSO Group、Candiru和Cytrox三款間諜軟件。
➤六大(dà)網絡攻擊事件
Solarwinds軟件供應鏈攻擊事件;
黑客入侵佛羅裏達水廠系統投毒事件;
DarkSide組織攻擊美國輸油管道運營商(shāng)事件;
Revil組織利用Kaseya産品漏洞發起大(dà)規模供應鏈勒索攻擊;
Lazarus組織持續針對安全研究人員;
Log4j漏洞事件。
➤在野0day總結
數量超過去(qù)年兩倍
2021年披露的在野0day數量達到58個,超過了2020年的兩倍。按影響産品劃分(fēn),占比更大(dà)是浏覽器漏洞,其次是操作系統漏洞,分(fēn)别占比45%和29%。按漏洞類型劃分(fēn),占比最多的是遠程代碼執行漏洞,其次是權限提升漏洞,分(fēn)别占比57%和35%。
8個重點事件
蔓靈花組織使用0day;
朝鮮APT組織使用社會過程學和浏覽器0day攻擊安全研究人員;
多個Exchange 0day橫空出世;
Chrome 0day數量連續第二年大(dà)幅增加;
Windows提權0day數量較往年翻倍;
蘋果産品的0day數量爆發式增長;
IE 0day數量依然較多,與Office結合更爲深入;
AdobeReader 0day重現江湖。
客服1 
客服2