国家计算机网络应急技术处理协调中心：2020年我国互联网网络安全态势综述（32页）.pdf

1、1.利用社会热点信息投递钓鱼邮件的 APT攻击行动高发。境外“白象”“海莲花”“毒云藤”等APT攻击组织以“新冠肺炎疫情”“基金项目申请”等相关社会热点及工作文件为诱饵，向我国重要单位邮箱账户投递钓鱼邮件，诱导受害人点击仿冒该单位邮件服务提供商或邮件服务系统的虚假页面链接，从而盗取受害人的邮箱账号密码。1月，“白象”组织利用新冠肺炎疫情相关热点，冒充我国卫生机构对我国20余家单位发起定向攻击; 2月，“海莲花”组织以“H5N1 亚型高致病性禽流感疫情”“冠状病毒实时更新”等时事热点为诱饵对我国部分卫生机构发起“鱼叉”攻击。“毒云藤”组织长期利用伪造的邮箱文件共享页面实施攻击，获取了我国百余个单

2、位的数百个邮箱的账户权限。2.供应链攻击成为APT组织常用攻击手法。APT组织多次对攻击目标采用供应链攻击。例如，新冠肺炎疫情防控下的远程办公需求明显增多虚拟专用网络( VPN)成为远程办公人员接入单位网络的主要技术手段之一。在此背景下，部分APT 组织通过控制VPN服务器，将木马文件伪装成VPN客户端升级包，下发给使用这些VPN服务器的重要单位。经监测发现，东亚区域APT组织以及“海莲花”组织等多个重要行业单位发起攻击,造成较为严重的网络安全风险。2020年底，美国爆发SolarWinds 供应链攻击事件，包括美国有关政府机构及微软、思科等大型公司在内的大量机构受到影响。3.部分APT组织网络攻击工具长期潜伏在我国重要机构设备中。为长期控制重要目标从而窃取信息，部分APT组织利用网络攻击工具，在入侵我国重要机构后长期潜伏，这些工具功能强大、结构复杂、隐蔽性高。3月至7月，“响尾蛇”组织隐蔽控制我国某重点高校主机，持续窃取了多份文件;9月，在我某研究机构服务器上发现“方程式”组织使用的高度隐蔽网络窃密工具，结合前期该机构主机被控情况，可以推断，最早可追溯至2013年，“方程式”组织就已开始对该研究机构实施长期潜伏攻击。