2022網絡攻擊態勢研判預測

隨著疫情沖擊，遠程辦公逐漸日常化，給黑客組織和灰黑產行業創造了更多機會，軟件供應鏈、工業互聯網、移動設備的危機逐漸凸顯，網絡安全形勢更加嚴峻

回顧2021，全球疫情持續蔓延，世界局勢錯綜復雜，國際格局向多極化加速演變，國家之間的網絡安全博弈基于地緣政治因勢而變。隨著疫情沖擊，遠程辦公逐漸日常化，給黑客組織和灰黑產行業創造了更多機會，軟件供應鏈、工業互聯網、移動設備的危機逐漸凸顯，網絡安全形勢更加嚴峻。基于對2021年高級威脅攻擊、攻擊團伙活動、重大攻擊事件、在野漏洞利用情況的分析，安恒信息對2022年網絡攻擊態勢得出七點研判預測。

醫學研究將持續成為威脅攻擊者的目標

隨著新冠疫情的持續，醫療行業的信息化迅速發展，但一些國家的數字化醫療系統尚不完善，因此成為攻擊的重災區。此外，隨著德爾塔病毒、奧密克戎變異毒株的出現，人們對病毒的恐慌程度加深，攻擊者利用這一心理，持續以新冠疫情為主題發起網絡釣魚活動。另外，隨著世界爭先恐后地開發、生產和分銷疫苗和藥物，以抵抗新冠疫情，生物制造行業也面臨被攻擊的危機。

2021年間，針對醫療行業以及生物研究行業的攻擊主要包括釣魚攻擊、勒索軟件攻擊以及部分APT攻擊（高級可持續威脅攻擊），攻擊目的為經濟獲益或信息竊取。攻擊者可以通過竊取的患者信息，進一步對受害者發起社會工程攻擊，或根據竊取的商業和財務信息對醫療機構或企業展開勒索。

醫院信息系統的安全性直接影響醫院的工作進度，而新冠疫情又給各國的醫院都帶來了巨大壓力。一旦醫院的系統出現宕機或數據泄露，將會給醫院、病患帶來巨大的損失，因此很容易成為勒索攻擊的目標。另外，生物制藥行業儲存大量關于新冠疫苗的重要信息，因此隨著新冠疫苗的緊迫開發，預計2022年針對生物醫藥行業的間諜活動也將持續進行。

ICS工業環境面臨的威脅將持續增長

2021年，工業部門所面臨的網絡風險急劇增長，常見的威脅包括以工業控制系統（ICS）為目標的勒索軟件，以情報收集為目的的間諜活動，以及破壞性攻擊活動。發生在2021年上半年的Colonial管道公司（美國最大成品油管道運營商）攻擊事件充分體現出ICS環境存在的安全風險;而下半年，針對ICS系統的勒索攻擊愈演愈烈。11月底，隸屬于澳大利亞昆士蘭州政府的CS Energy公司（澳大利亞電力供應商）遭到勒索軟件攻擊;12月14日，美國主要天然氣供應商Superior Plus同樣遭到了勒索軟件攻擊。此外，美國、澳大利亞等國家的水務行業一直是黑客攻擊的目標。

ICS系統是關鍵基礎設施的核心，一旦遭到攻擊，國家的正常運作將受到嚴重影響。由于ICS環境缺乏健全的網絡防護方案，因此容易成為攻擊者入侵的目標，針對工業控制系統的攻擊將持續增加。

可能會出現更多的軟件供應鏈攻擊

安恒獵影實驗室在2020年發布的《2020年度高級威脅態勢研究報告》中提到，軟件供應鏈各個環節仍將是攻擊的重點突破口。2021年7月，由REvil勒索團伙發起的Kaseya（卡西亞）供應鏈攻擊事件驗證了這項預測。在此事件中，攻擊者分發帶有惡意軟件的Kaseya VSA軟件更新，影響了全球17個國家的1500多家企業。

以REvil為例，部分大型勒索團伙正在不斷完善其武器庫，且已把軟件供應鏈作為攻擊工具，發起大規模攻擊活動。2021年也出現了多個發起供應鏈攻擊的APT組織。安全廠商卡巴斯基觀察到，包括Lazarus、DarkHalo、BountyGlad、HoneyMyte在內的多個APT組織都正在發起供應鏈攻擊。

軟件供應鏈攻擊的成本低、傳播速度快、破壞面廣，并且會引發一系列連鎖反應，因此已成為2021年最嚴重的威脅之一。隨著APT組織供應鏈攻擊能力的發展，預計軟件供應鏈攻擊也將在2022年變得更頻繁、更具破壞性。

雇傭間諜軟件服務將更加流行

2021年7月18日，美國《華盛頓郵報》、英國《衛報》和法國《世界報》等17家媒體共同披露，以色列NSO集團的“pegasus（飛馬）”間諜軟件在全球至少50多個國家被用來監聽活動人士、記者和律師，涉及人數可能高達5萬人。此事件引起巨大轟動，NSO集團遭到來自各方的強烈譴責，雇傭監控服務也開始受到各界重視。隨后，多個研究團隊接連披露了多個提供雇傭監控服務的間諜軟件公司，以及與這些公司有關的攻擊事件。

安恒獵影實驗室也曾在2021年8月發布報告，介紹了5個提供間諜軟件服務或監視產品的間諜軟件供應商：FinFisher、Hacking Team、Cyberbit、Candiru、NSO Group。雇傭監控服務已成為一種復雜、低調、國際化、利潤回報豐厚的產業，且間諜軟件供應商所提供的產品都具有高復雜性、難追溯等高技術特點。目前披露的公司只是龐大的雇傭監控服務產業中的冰山一角，預計2022年雇傭間諜軟件服務將繼續流行。

垃圾郵件活動將更具針對性

2020年，美國企業在與商業電子郵件泄露（BEC）或魚叉式網絡釣魚相關的攻擊中損失超過18億美元;而2021年，網絡釣魚郵件活動變得更加復雜，攻擊者根據社會工程學精心設計釣魚頁面，使受害者難以將其與合法網站區分開。

網絡釣魚者攻擊的主要目標為銀行、應用程序提供商、大學和其他實體，常見的釣魚郵件的主題包括“賬號異常登錄”“銀行通知”“新冠檢測信息”“快遞物流信息”等。

在2021年間，數據泄露事件頻繁出現，這些泄露的信息將推進更有針對性的垃圾郵件活動。2021年的大部分勒索軟件團伙主要采用雙重勒索模式，除了加密文件外，還會竊取并泄露數據，這些數據可能包括用戶的姓名、號碼、賬戶信息等。據統計，2021年全年有超過80%的勒索攻擊涉及對公司數據的竊取活動。對于拒絕支付贖金的公司，部分勒索團伙會將從其系統中竊取的信息在數據泄露站點上公開，這些信息會被網絡犯罪分子利用，進一步發起更具針對性的釣魚攻擊。

勒索軟件將繼續主導威脅格局

2021年，近一半的安全調查事件與勒索軟件相關，全年發生了約2000多起勒索攻擊事件，成為影響力最大的惡意軟件類型。勒索軟件呈現出攻擊水平高、駐留時間短、影響范圍廣、勒索贖金大的趨勢，并且勒索攻擊逐漸變得普遍和有效，將繼續主導網絡威脅格局。

2021年上半年，大型勒索團伙針對關鍵基礎設施部門發起多次嚴重的攻擊，包括Darkside（黑暗面）組織針對美國輸油公司Colonial Pipeline的攻擊，以及REvil勒索團伙針對全球最大的肉類供應商JBS的攻擊。這些攻擊事件具備APT的特點，并呈現出高針對性和復雜性。

自Colonial Pipeline攻擊事件發生后，各國執法部門都加大了對勒索團伙的打擊力度。自6月開始，警方先后抓捕了屬于REvil、cl0p等大型勒索團伙的多名附屬成員。11月左右，美國政府以1000萬美元的賞金公開收集關于DarkSide勒索組織、REvil勒索組織核心成員的信息。由于執法部門帶來的壓力，DarkSide、REvil、BlackMatter以及Avaddon等勒索團伙紛紛宣布關閉運營，但品牌重塑一直是勒索軟件生態的常見策略，這些大型勒索團伙通常不會徹底結束攻擊活動。預計2022年，會涌現大批回歸的勒索團伙，勒索軟件攻擊將繼續主導網絡犯罪生態。

針對移動設備的攻擊或會增加

2021年，涌現出大量針對ios和Android操作系統的新型移動設備惡意軟件，灰黑產網絡犯罪分子很容易通過銀行木馬等移動惡意軟件獲利，APT組織也可以在受害目標的移動設備上安裝間諜軟件、鍵盤記錄器等，從而監控和竊取受害者的信息。因此，2021年針對移動設備的攻擊顯著增加，且攻擊手法更加復雜。

由于在線銀行向移動設備過渡的持續趨勢，銀行木馬成為移動惡意軟件中占比較大的威脅。2021年新披露的SharkBot、BrazKing等銀行木馬都是針對Android系統的銀行木馬，通常都具有執行覆蓋攻擊以竊取登錄憑據和信用卡信息的功能，并且可以通過請求訪問無障礙服務以激活捕獲屏幕和擊鍵的能力。移動銀行惡意軟件更易操作、易獲得，因此在地下網絡犯罪領域的影響逐漸壯大。

除使用銀行木馬的攻擊外，2021年也有多起使用間諜軟件針對移動設備的復雜攻擊。此種較著名的攻擊包括，以色列監控供應商NSO Group濫用蘋果iMessage中未公開的“零點擊”漏洞，在巴林活動人士的手機中部署Pegasus間諜軟件。此外，Donot組織使用虛假的Android應用程序攻擊了著名的多哥（西非國家）活動家，試圖誘騙受害者安裝偽裝成安全聊天應用程序的Android間諜軟件，旨在提取存儲在目標人士手機上的敏感個人信息。這種類型的攻擊是高度復雜的，需要花費數百萬美元來開發。這些案件都表明針對移動設備的攻擊與之前相比越發復雜。

網絡威脅是一個持續存在的問題，而疫情的暴發推進了網絡攻擊的發展，從而使全球各個行業面臨攻擊的風險，給全球實體帶來了巨大的挑戰。縱觀全年，APT組織仍然以地緣政治為背景，以情報竊取為目標展開攻擊活動，且更加關注電信、航空等領域。這些行業的公司內部包含高價值的情報，通常能夠滲透出大量的敏感數據。此外，生物醫藥行業儲存大量關于新冠疫苗的重要信息，2021年也出現了以生物制造設施為目標的APT攻擊活動。

出于經濟獲益動機的攻擊活動在針對性攻擊領域發生了一定的戰略性變化。以勒索團伙為首的網絡犯罪團伙野心勃勃，不再滿足于傳統的小型狩獵，而是將攻擊目標擴大至大中型企業甚至關鍵基礎設施行業，掀起勒索攻擊的浪潮。

網絡威脅領域持續發展，攻擊形勢瞬息萬變，面對這些不確定性，企業應密切關注網絡威脅局勢，并隨時準備做出針對性響應，以確保在2022年保持彈性，應對威脅。

（本文節選自《2021高級威脅研究態勢報告》）