Positive Technologies：网络犯罪分子的目标是中东地区的电信和军工企业。

该地区受攻击最多的国家是沙特阿拉伯和阿联酋。

Positive Technologies 专家安全中心（PT Expert Security Center，PT ESC）的专家对针对中东地区组织的 APT 组织进行了全面研究。专家们指出，88%的研究小组攻击沙特阿拉伯，受攻击最多的 5 个行业包括政府机构、工业、电信、军工和燃料能源综合体。为了获得对基础设施的初始访问权，攻击者主要通过制作钓鱼邮件和利用公开应用程序的漏洞进行攻击。

根据分析，攻击者的前 7 大目标包括沙特阿拉伯（88%）、阿联酋（75%）、以色列（63%）、约旦（56%）、埃及（50%）、科威特（50%）和黎巴嫩（44%）。

Positive Technologies Research Group 高级分析师亚娜-阿维佐娃（Yana Avezova）说："绝大多数在中东地区开展业务的 APT 组织在接受调查时至少攻击过一次政府机构（94%）和工业（81%），69%的组织攻击过燃料和能源行业。值得注意的是，政府机构是对所有攻击者最有吸引力的目标：2022-2023 年，它们占中东组织所有攻击的 22%"。

正如研究报告所指出的，受攻击最多的前五大行业还包括电信公司和军工企业：每隔一段时间就有一组人对它们进行攻击。

根据 Positive Technologies 公司专家的说法，军工企业之所以成为受攻击最多的行业之一，是因为该地区的特殊性。与其他地区相比，中东媒体也是经常受到攻击的目标，并且在排名中一直保持着较高的位置。专家们认为，网络犯罪分子对电信行业的兴趣增加是由于中国血统的犯罪团伙发动的攻击，因为电信一直以来都是他们的主要攻击目标之一。

根据 Positive Technologies 的分析，为了获得初始访问权限，69% 的网络犯罪团伙会制作钓鱼邮件，31% 的网络犯罪团伙会利用公开应用程序中的漏洞，19% 的网络犯罪团伙会在专门的网络资源中放置恶意软件。

Positive Technologies 专家安全中心（PT Expert Security Center）信息安全威胁研究部专家 Alexander Badaev 说："复杂的定向攻击始于侦察。- 攻击者可以进行大规模网络扫描，寻找合适的目标。这样，攻击者就有足够的信息进行初始渗透。例如，这些信息包括目标服务器上安装的软件及其容易出现已知漏洞的版本。侦察之后是准备攻击工具箱阶段。攻击者可以注册虚假域名，创建电子邮件账户或社交媒体账户进行有针对性的网络钓鱼。

专家说，在获得初始访问权限后，攻击者会设法在基础设施中站稳脚跟。为了获得立足点，69% 的 APT 使用作业调度程序（操作系统的一个组件，允许程序或脚本在满足特定条件时运行），例如在针对阿联酋政府的攻击活动中，OilRig 创建了一个预定的 Microsoft Edge 更新服务任务，每五分钟触发一次并启动恶意软件。大多数攻击者（56%）设置了自动加载恶意软件。三分之一的 APT（31%）将恶意软件配置为在特定事件发生时触发，以便将受害公司固定在系统中。

在入侵企业网络后，攻击者会研究已获得访问权限的设备，以了解如何继续攻击。Positive Technologies 的分析表明，攻击者主要对被入侵主机的操作系统和架构数据，以及软件版本、安装的补丁和服务包等信息感兴趣，94% 的小组使用这种技术。大量攻击者（81%）试图识别被入侵主机的用户并确定他们的活动水平，63%的攻击者研究被入侵主机上运行的进程，56%的攻击者分析文件和目录以寻找有用信息。

正如 PT Expert Security Center 的专家所指出的，对于 APT 组织来说，尽可能长时间地在被入侵环境中不被发现是非常重要的。他们会采用各种方法隐藏自己存在的痕迹。通常情况下，攻击者会预先测试其恶意软件样本，然后对其进行修改，以逃避防病毒解决方案的检测。一种常见的方法是将恶意软件伪装成合法文件或应用程序。大多数 APT（56%）会清除其活动痕迹：清理事件日志和网络连接历史记录，并更改时间戳。这些行为会大大增加网络安全专业人员调查事件的难度。

为了应对复杂的针对性攻击并建立有效的防护系统，Positive Technologies 专家建议企业关注有效网络安全的基本要素，其中包括

- 资产管理。

- 监控和事件响应。

- 网络安全培训

- 安全评估。

在网站上发布的研究报告中列出了在中东地区活动的 APT 组织的 APT 战术和技术的完整清单。

@Positive_Technologies