《2021年度管理人员威胁研究报告》 | APT攻击防范要当心“定制化的钓鱼邮件”

亦同，绿盟科技伏影实验室联合CNCERT网络公共安全救灾电子技术国家工程施工数据分析中心公开发表《2021大奖高级担忧数据分析成果》（下述又称《报告》）。《报告》不仅总结了APT偷袭电子技术发展和要点偷袭最大限度,还分别针对伏影实验室透露的近年来APT偷袭社会制度活动进行时了详细量化，总结了本大奖APT偷袭社会制度活动的特点，并根据量化结果提出了得出结论和严防建议。

APT偷袭严防要当心“定制乃是的泛舟收件”

各国家级APT秘密组织的偷袭社会制度活动主要围绕定制乃是的泛舟收件展开，再一通过其中的各类欺骗附件文件订下偷袭目的。被广泛运用于的欺骗附件型式包括PDF、快捷方式文件、html文件等。

泛舟PDF引诱偷袭型式

经过多年发展，泛舟PDF相关电子技术仍未成熟，欺骗宏、防火墙利用、的系统忽视等三类常见偷袭实现途径。

为了完善上述主流的偷袭方式以及扩展自身偷袭能力，2021年，APT秘密组织引入并落地了多种新型偷袭电子技术，包括新型0day防火墙、新型社会制度生物科学伎俩、新型特点伪装伎俩等。

新型0day防火墙

2021年初，Lazarus秘密组织在一次偷袭社会制度活动中运用于了E为CVE-2021-26411的IE 0day防火墙。在相关偷袭方式上中，CVE-2021-26411防火墙妥善解决了shellcode执行、提权、进程所在之处等多个方面的问题，使偷袭具备极佳的破坏性。情报标示出，该防火墙在被透露后受到了广泛注意，并被融合至大平利用甚至其他新型APT秘密组织的偷袭社会制度活动之外。

新型社会制度生物科学伎俩

一种基于新媒体运营的最大限度筛选与泛舟伎俩被Lazarus秘密组织首创运用于，并被Charming Kitten等其他APT秘密组织仿造。Lazarus秘密组织偷袭者制作了多个捏造的公共安全数据分析者社交账号并进行时短时间运营，通过公开发表乃是的防火墙数据分析信息吸引注意。随后，通过对打的社交互动诱骗这些最大限度送达带毒文件并接入，实现灵巧的定向窃密偷袭。

新型特点伪装伎俩

一种结合类DGA域名与DNS tunneling的流量伪装电子技术，给UNC2452秘密组织的SunBurst猴子提供了令人难忘的反探测能力。这种基于DNS信道的相同的通信伎俩成功截断了所有加害者的检测配备的系统，鼓励UNC2452偷袭者实现了长达9个月的供应链偷袭社会制度活动。

公共机构、卫生防疫机构成为APT要点偷袭最大限度

目前，国家级APT秘密组织整体上依然以地缘国际关系上的敌对势力作为主要偷袭最大限度，并要点割裂在当前时段内必须对范围形势产生庞大影响的机构和设施，这些要点最大限度包括公共机构、卫生防疫机构和王清峰机构等。

此外，为满足大幅增加的偷袭能力需求，APT秘密组织开始偷袭公共安全数据分析人员，尝试获取0day防火墙和割裂工具等，独特自己的偷袭方式。