2022年下半年全球主要APT攻击活动报告 2双02子3-座02实验室 2022年下半年全球主要APT攻击 活动报告 2022年下半年全球主要APT攻击活动报告 目录CONTENTS 01概述 02APT组织攻击数据披露 03重大APT攻击活动 04总结 05附录 2022年下半年全球主要APT攻击活动报告 3 01概述 2022年下半年,天际友盟持续对APT组织及其活动进行追踪总结,总共披露了全球98个APT组织160多起攻击活动,通过对其中出现的威胁组织及其使用TTP的具体分析,我们总结出2022年下半年APT组织攻击活动特点如下: 1 地缘政治冲突不断激化,大国网络空间博弈加剧 持续近一年的俄乌战争并没有结束,其网络空间冲突也在不断升级。2022年下半年,包括Gamaredon、Sandworm、TridentUrsa、NoName057(16)在内的俄罗斯黑客组织接连对乌克兰的政府、媒体、军队、供应商、电信公司、金融机构等组织发起攻击,而俄罗斯的政府、军队、外交等部门及其网站也遭受到了各方APT组织的猛烈攻击。虽然从披露的APT事件来看,俄罗斯方面似乎占据优势,但乌克兰凭借美国及其盟友的支持,也对俄罗斯发动了多起有影响的攻击,大国的网络空间博弈并未分出明显胜负。 2 网络间谍战硝烟弥漫,成为多国科技抗衡的有力手段 纵观世界,科技创新仍是发展的第一生产力,由此也衍生了不少旨在窃取机密资料的间谍组织。2022年下半年,不仅有来自越南的海莲花组织、印度的白象等知名组织对我国政府、科研领域发起了网络间谍攻击,更有例如APT-LY-1004在内的新兴间谍组织在对印度国防部的钓鱼活动中浮出水面。从攻击手段来看,网络间谍人员擅长利用鱼叉式网络钓鱼策略针对与高新技术最接近的核心人员,可谓精准打击,出手果断。 3 美国超越乌克兰和俄罗斯,成为黑客组织攻击的热门目标 从攻击目标来看,美国成功超跃乌克兰,成为2022年下半年APT组织攻击最多的目标国家,其中来自俄罗斯和朝鲜的黑客组织贡献了超过一半的攻击。可见俄乌冲突对美国自身也有一定的影响。 4 软件行业漏洞频出,成为供应链攻击的主要切入点 从攻击行业来看,2022年下半年软件行业已上升为除了政府和军工以外第三大易受黑客组织攻击的行业。由于软件行业巨头其产品分布广泛,借助他们产品或服务的漏洞进行传播或攻击的事件日渐增多,同时很多知名开源软件平台也成为供应链攻击的首选目标。 5 勒索软件攻击高度活跃,运营模式日渐成熟 从暗网活跃的几十个勒索软件团伙的数据披露网站可以看出,2022年是勒索软件极为活跃的一年。其中,许多勒索软件正逐渐被黑客组织加入武器库,更有部分勒索软件团伙自身也发展壮大成新的威胁组织,他们有着成熟的运作模式并可对目标进行多重勒索。 02APT组织攻击数据披露 2.1TOP10APT组织 我们对2022下半年活跃的TOP10APT组织进行统计如下: APT-C-09 TransparentTribe SideWinder Lazarus Confucius CharmingKitten APT32 Gamaredon KimsukyBitter 图表12022年下半年TOP10APT组织 2022年下半年160多起攻击事件中(主要统计知名组织及有影响力的攻击),榜首依然被老牌黑客组织Lazarus占据,紧接着第二名是朝鲜黑客组织Kimsuky,来自南亚的APT组织蔓灵花BITTER和俄罗斯黑客组织Gamaredon并列第三。较2022年上半年而言,Kimsuky组织上升最快,其攻击目标已扩展至Android设备。 2.2TOP10攻击目标 2022年下半年APT组织攻击的目标国家TOP10统计如下: 以色列 英国美国 日本印度 俄罗斯 中国 韩国 巴基斯坦 乌克兰 图表22022年下半年TOP10APT组织攻击目标 从统计数据可以看出,美国已经一跃成为2022年下半年以来黑客攻击目标的第一名,由于俄乌战争的影响,乌克兰紧随其后,巴基斯坦由于印度黑客组织的活跃攻击而位列第三名。 2.3TOP10攻击行业 2022年下半年APT组织攻击的目标行业TOP10统计如下: 能源 通信政府 制造 媒体 互联网 军工 金融 教育软件和信息技术 图表32022年下半年APT事件攻击行业分布TOP10 从上图可以看出政府、军工继续保持其热度,但软件和信息技术行业上升极快,已排到攻击目标行业的前三名,金融行业热度有所下降,已下滑到第5位。 2.4APT组织常见攻击手段 2022年下半年APT组织常见攻击手段统计如下: 供应链攻击社会工程学 僵尸网络勒索软件 无文件攻击 漏洞利用 木马后门 钓鱼攻击 图表42022年下半年APT组织常见攻击手段 从表中可以看出,主要攻击手段的前三名依然被木马后门、钓鱼攻击、漏洞利用这三种手段占据。其中钓鱼攻击 中有三分之一的攻击活动使用了鱼叉式钓鱼攻击,用以提高攻击的成功率。漏洞利用作为初始渗透的有效手段,依然发挥着极其重要的作用。下表列出了2022年下半年最常用的漏洞列表及其针对的系统或软件: MozillaFirefox CVE-2019-11708 CVE-2021-26855 MicrosoftExchangeServer WindowsCOM CVE-2019-1405 CVE-2021-27065MicrosoftExchangeServer MicrosoftWindowsNetlogon CVE-2020-1472 CVE-2021-31207MicrosoftExchangeServer OracleWebLogicServer CVE-2020–14882 CVE-2021-34473MicrosoftExchangeServer F5BIG-IP CVE-2021-22986 CVE-2021-34523MicrosoftExchangeServer 2022年下半年APT组织 常见漏洞利用 WindowsPrintSpoolerCVE-2021-34527 CVE-2022-24521WindowsCommonLogFileSystemDriver MicrosoftWindowsActiveDirectoryCVE-2021-42278 CVE-2022-26134AtlassianConfluenceServer MicrosoftWindowsActiveDirectoryCVE-2021-42287 CVE-2022-26352dotCMS ApacheLog4jCVE-2021-44228 CVE-2022-31199NETWRIXAUDITOR SpringFrameworkCVE-2022-22965 CVE-2022-41128WindowsScriptingLanguages 图表52022年下半年APT组织常见漏洞利用 03重大APT攻击活动 3.1俄乌冲突相关攻击 俄乌冲突在2022年下半年局势持续紧张。俄乌双方依然频繁的遭受各类威胁组织和团伙的攻击。虽然从舆论战来看,乌克兰占据优势,但是俄罗斯凭借其强大的黑客能力,对乌克兰发起了多次有影响力的网络攻击。其中,俄罗斯APT组织Gamaredon及Sandworm是目前最为活跃的APT组织。来自俄罗斯的黑客组织Gamaredon一直以乌克兰为目标,并被认为对该国的数千起攻击负责。自2022年2月俄罗斯入侵以来,Gamaredon针对乌克兰目标的活动已经发生了变化,涉及网络钓鱼攻击和部署新的恶意软件变体。 研究人员在7月份发现APT组织Gamaredon开始频繁使用多种不同类型的攻击方式对乌克兰赫尔松州、顿涅茨克州等地区的军方和警方目标进行网络攻击。在该攻击周期中,Gamaredon主要使用了恶意office文档、html附件、SFX文件等攻击工具,配合其精心设计的诱饵信息,组合成了三类不同的攻击流程。在2022年7月15日至8月8日的一波攻击中,Gamaredon使用最新的感染媒介涉及携带自解压7-Zip附件的网络钓鱼邮件,邮件中包含的XML文件导致执行PowerShell信息窃取程序。此外,Gamaredon还会使用VBS下载器来获取Pterodo后门,该后门允许攻击者使用主机的麦克风录制音频,从桌面拍摄屏幕截图,记录和泄露击键内容,下载和执行其他.exe和.dll类型有效负载。9月份,研究人员发现Gamaredon组织针对乌克兰开展了大规模的网络钓鱼活动,该活动旨在向乌克兰受害者主机分发信息窃取恶意软件Infostealer,它可以泄露特定文件类型并在受感染端点上部署额外的二进制和 基于脚本的有效负载。 另一个知名俄罗斯黑客组织Sandworm也对乌克兰发起了相关攻击。2022年9月份,Sandworm组织使用伪装成乌克兰电信运营商的动态DNS域,对受害者网络发起鱼叉式网络钓鱼活动。Sandworm使用独特的新基础设施,成功在关键的乌克兰系统上部署ColibriLoader和WarzoneRAT恶意软件以传播其它恶意负载,这次攻击旨在支持俄罗斯地区的军事行动。11月份,疑似Sandworm组织利用RansomBoggs新型勒索软件攻击乌克兰,新型勒索软件RansomBoggs基于.NET编写,一旦其进入受害者网络,将使用随机生成的密钥在CBC模式下使用AES算法加密文件,加密后文件扩展名更改为.chsch。 除了Gamaredon和Sandworm两大组织以外,还有多个组织针对乌克兰的不同行业发起了攻击。 2022年6月开始,研究人员调查并分析了用于对乌克兰境内及周边地区的网站进行DDoS攻击的恶意软件,确定该恶意软件是一种名为Bobik的.NET变体,包括一个DDoS模块,并通过僵尸网络传播。研究人员通过解密HTTP协议、监控C2服务器并收集有关定义DDoS目标的僵尸网络架构和XML配置的信息,确定了一个名为NoName057(16)的亲俄罗斯黑客组织。 7月份ITG23组织针对乌克兰的攻击活动被披露,ITG23是一个出于经济动机的网络犯罪团伙,主要以开发Trickbot银行木马而闻名,该木马于2016年首次被发现,从那时起,该组织就使用其有效载荷在勒索软件攻击的环境中站稳脚跟,包括Ryuk、Conti和Diavol勒索软件。数据盗窃或勒索软件的成功利用将为ITG23提供额外的勒索机会,特别是破坏性攻击可能会损害乌克兰的经济。同在7月,Malwarebytes发现了黑客组织UAC-0056(又名UNC2589,TA471)一系列针对乌克兰的网络攻击。此次活动该组织继续使用与之前相同的TTP针对乌克兰的政府实体。攻击活动的诱饵是基于与乌克兰正在发生的战争和人道主义灾难有关的重要文档,恶意文档会释放下一阶段的有效负载并最终部署CobaltStrike有效载荷。 10月份,新勒索软件Prestige被用于针对乌克兰、波兰运输和物流组织的持续攻击活动。该新勒索软件于2022年10月11日被首次发现在野使用,微软还发布了Prestige勒索软件部署的三种方法。成功部署后,Prestige勒索软件有效负载将在其加密的每个驱动器的根目录中放置名为“README.txt”的勒索记录,且加密文件扩展名为.enc。10月25日乌克兰CERT-UA还发现TropicalScorpius组织利用RomCom恶意软件攻击乌克兰。 11月份,Blackberry团队发现RomCom组织利用流行品牌软件包的欺诈活动,该活动主要针乌克兰和英国地区。 11月15日,俄罗斯黑客组织FRwL(别称为Z-Team、UAC-0118)使用Somnia勒索软件针对乌克兰的多个组织展开了网络攻击,并发布了针对乌克兰坦克生产商的攻击证据。 12月份,俄罗斯APT组织TridentUrsa被曝出持续入侵乌克兰,TridentUrsa依靠鱼叉式网络钓鱼策略以初步破坏目标设备,钓鱼诱饵包