剖析与理解APT威胁组织活动
APT组织优先考虑间谍活动和数据窃取
根据Trustwave SpiderLabs追踪的数据,大约三分之二的APT组织活动动机是间谍活动,主要针对美国、乌克兰和俄罗斯的政府、国防和电信部门。
主要攻击来源国
- 中国:41%
- 伊朗:12.5%
- 俄罗斯:5%
可操作的威胁情报
Trustwave SpiderLabs通过剖析APT组织的战术、技术和程序(TTPs),并将其转化为自定义检测规则,显著减少了攻击者的驻留时间。
APT组织目标分析
政府行政、国防和金融部门组织是高级持续性威胁(APT)组织的主要目标。大多数攻击来自中国、俄罗斯和伊朗,主要目标位于美国、乌克兰和俄罗斯。
追踪的组织包括:
- Lapsus$
- ShinyHunters
- Silk Typhoon
APT定义
高级持续性威胁(APT)是一种长期的、有针对性的网络攻击,入侵者获得对网络的未授权访问并在较长时间内保持不被检测,有时甚至持续数月或数年。
APT组织通常使用复杂的工具集和技术,如自定义开发的恶意软件、零日漏洞利用和多种方法来规避传统安全防御并获得访问权限。
APT组织动机因素
信息窃取和间谍活动
- 占SpiderLabs追踪APT活动的约三分之二
- 中国负责约41%的攻击
- 伊朗进行12.5%的攻击
- 俄罗斯进行5%的攻击
- 主要目标:政府/行政、国防和电信部门
经济利益
- 包括直接经济利益和对金融机构的犯罪
- 美国是最多目标国家,其次是乌克兰和加拿大
- 俄罗斯是已知攻击来源的领先者,其次是中国
破坏和摧毁
- 发生实例占总攻击的不到5%
- 俄罗斯领先,其次是伊朗
- 最常攻击目标:能源、政府、国防和金融部门
受害者分析
政府部门受到中国威胁行为体的攻击最为频繁,国防、金融、教育、能源和医疗保健部门也都遭受APT组织活动的影响。
SpiderLabs在APT防御中的直接作用
1. 精英威胁情报和TTP追踪
SpiderLabs分析师专门追踪和分析全球数十个特定的复杂APT组织,包括:
- APT34
- APT44/Sandworm
- Salt Typhoon
- Silver Fox
- Scattered Spider
TTP剖析:团队对战术、技术和程序(TTPs)、自定义恶意软件和这些组织使用的基础设施进行深入分析。
可操作情报:这些专有情报立即转化为自定义检测规则和剧本,直接注入Trustwave Fusion平台和客户端的安全工具中。
2. 人工主导的高级威胁狩猎
假设驱动的狩猎:SpiderLabs专家使用基于假设的方法(假设客户已被入侵)主动搜索与已知APT TTPs一致的入侵指标。
MITRE ATT&CK映射:他们的狩猎方法映射到MITRE ATT&CK框架,允许他们在整个攻击链中系统性地搜索活动。
减少驻留时间:这种主动狩猎显著减少了攻击者的驻留时间,最小化APT可能造成的损害。
3. 事件响应和准备
数字取证和事件响应(DFIR):团队为紧急违规响应提供24/7全球支持,执行取证调查以确定范围、根本原因和APT行为者身份。
遏制和根除:他们快速执行必要的步骤来遏制威胁,并确保APT从环境中完全根除。
进攻性安全:SpiderLabs的道德黑客还执行渗透测试和红队演练,这些演练基于真实世界的APT TTPs进行。