深信服发布《2020年网络安全态势洞察报告》，东亚地区是APT组织的首选目标

（原标题：深信服发布《2020年网络安全态势洞察报告》，东亚地区是APT组织的首选目标）

2020年，以“COVID-19”疫情为主题的鱼叉攻击已成为APT组织的惯用手法， 远程办公成为APT攻击的“众矢之的”……

2020年，亚洲是APT攻击最活跃的地区，另外中东与东欧也相对频繁。由此可见，APT攻击更“青睐”于局势敏感以及动荡的地区……

2020年，APT即服务快速发展，雇佣组织在基于经济利益的基础上会对外提供攻击服务……

据深信服千里目安全实验室发布的《2020年网络安全态势洞察报告》（以下简称报告），2020年，APT通过社会工程学，借“COVID-19”上位，并呈现出许多新的特点和发展趋势。

APT攻击区域性特征依旧明显，雇佣组织提供APT服务成趋势

据《报告》显示，2020年，APT组织区域性特征依旧明显，主要活跃在东亚、东南亚、南亚、东欧等局势敏感以及动荡的地区。

东亚地区是APT组织的首选目标，活跃在东亚地区的Lazarus以及DarkHotel 更是 APT组织中的顶级组织。

东南亚地区比较活跃的APT组织为OceanLotus，也叫做海莲花组织，今年其最大的变化是在攻击行动中进行虚拟数字货币挖矿活动。

南亚地区的相关APT组织在2020年对中国发起的攻击是最为活跃。

东欧地区的APT组织攻击活动主要以中东、欧洲以及北美地区作为主要目标。

目前，APT攻击可以认为是最先进的网络攻击形式，是当前网络安全防护的重点。除传统传统上出于政治或经济动机的老练攻击者攻击外，国内外安全厂商陆续披露了多个“雇佣黑客”组织的攻击行为。

以2020年被披露的雇佣黑客组织DeathStalker为例，该组织主要针对从事金融业或金融业合作的实体，包括法律办事处、财富咨询公司和金融技术公司，其对我国也发起过相关攻击行动。

雇佣黑客组织使用的战术、技术和程序上已经达到了国家级的水平，其会向出价最高的人提供网络间 谍服务，这可能是未来高级威胁攻击的新趋势，即APT即服务。

除了区域特征明显，APT攻击发展还有三大显著特征

《报告》指出，从APT整体活动来看，未来，局势敏感以及动荡的地区相关的APT攻击活动会更加频繁，未来地缘政治仍然是APT威胁组织的重要目标，此外，APT攻击发展还有三大显著特征：

【特征1】漏洞开发与0day网络军火商兴起

漏洞是APT武器库中不可缺失的资产之一，包括但不限于系统漏洞、应用漏洞（如IE、Firefox、Exchange）、网络基础设施（路由器、网络边界产品）漏洞，该漏洞库的强大与否取决于APT组织等级。一般性的APT组织会搜集与整理历史漏洞，并且涉及平台少；国家级APT组织在历史漏洞基础上还会进行0day漏洞挖掘与利用开发。

顶级APT组织会继续挖掘漏洞与开发相关利用工具；而不具有漏洞挖掘的组织可以通过0day网络军火商购买相关的漏洞利用工具。

【特征2】利用入口设备与管理软件

利用VPN进行攻击在很早就已经存在了，因为疫情期间居家办公以及远程办公增多，更多的企业依赖VPN开展业务。2020年国内外已经出现了多起VPN漏洞攻击事件、网络边界设备漏洞攻击事件。

未来，APT组织更多聚焦在这类设备与软件，深入分析该类设备以及软件，挖掘其中的安全漏洞，实现以点击面的攻击效果，甚至达到供应链攻击的效果。

【特征3】多平台攻击一体化

除了传统的Windows、Linux以及MAC OS系统平台，越来越多的APT组织已经在移动端进行监控布局与攻击。在2020年，多个APT组织在移动端的攻击事件不断被披露。

并且伴随着物联网以及5G技术的逐渐发展与完善，APT组织同样会对该类平台研究相关的攻击能力。除了新增其他平台的攻击能力之外，多平台攻击一体化同样也是未来的趋势之一。

此外，《报告》还指出，当前网络黑产活动专业化、自动化程度不断提升，技术对抗越发激烈，已逐渐呈现出与APT类似的攻击特征，两者之间的技术差异也逐渐模糊，随着网络安全形势的发展，大家在关注APT攻击的同时，也应该对网络黑产活动予以足够的重视。