2022年全球高级持续威胁（APT）研究报告

二全零球二高二级年 持续性威胁研究报告 CONTENTS目录 01 004/2022年高级可持续性威胁概览 02 006/2022年活跃APT组织 009北美 012南亚 022东亚-朝鲜半岛 031东亚-其他地区 035东南亚 037东欧 044其他 03 048/2022年APT攻击态势总结 049TOP20ATT&CK技战术 051利用0day漏洞的攻击活动增长势头放缓，但仍处高位 056APT组织针对移动平台私有化武器趋势显露 58针对我国重点行业目标的攻击活动依然保持高热度 59涉及网络经济犯罪的APT攻击活动持续披露 04 061/关键威胁形势分析 062俄乌冲突爆发，APT攻击急剧增加 64保障国家网络空间安全，需时刻保持战时状态 65从“技术对抗”逐渐扩展到“舆论对抗” 66APT攻击瞄准我国自主可控领域 67数字化转型面临更加复杂多样的网络威胁 05 068/附录 2022/PART.01 2022年高级可持续性威胁概览 RESEARCHREPORT005 PART.01 2022年高级可持续性威胁概览 AdvancedPersistentThreat 在经历了新冠肺炎疫情肆虐，当今世界正处在大发展大变革时期。2022年俄乌冲突爆发、全球经济衰退加之国际间各种力量的较量，使得国际局势日益错综复杂。2022年全球高级持续性威胁（APT）形势依然严峻。全年全球网络安全厂商公开发布的APT报告累计742篇，报告中披露的攻击活动涉及APT组织141个，其中首次披露的APT组织54个，均比 2021年明显增加。全球范围内APT攻击活动依然紧跟政治、经济等时事热点，攻击目标集中分布于政府、国防军工、教育、金融等行业领域。 依托自身“看见”的能力，360已累计发现了51个境外APT组织，监测到5800多起针对中国的网络渗透攻击。2022年，360高级威胁研究院捕获到境外新组织：APT-C-63（沙鹰），另外在全球范围内率先监测到APT-C-06（DarkHotel）组织利用Firefox浏览器的2个在野0day漏洞（CVE-2022-26485、CVE-2022-26486）[1]针对特定目标进行水坑攻击。这也是2022年国内唯一一家捕获APT攻击活动中利用0day漏洞的安全厂商。2022年全球APT组织利用0day漏洞展开攻击活动的增长趋势放缓，但仍处高位。 2022年2月24日俄乌冲突爆发，成为全球关注的焦点。俄乌冲突期间，与俄乌冲突相关的 APT攻击、大规模DDoS攻击、黑客组织网络攻击、网络信息舆论对抗等一系列网络攻击和对抗活动，将网络空间战争形态展现在了世人面前。网络空间已经成为俄乌间冲突对抗的重要战场，在军事冲突之外产生着愈发深刻的影响。 2022年是我国“十四五”规划的第二年，在全面建设社会主义现代化国家新征程中，一批 5G、工业互联网等新基建项目扎实推进，为数字经济发展开拓新空间、增添新动能。新基建的背后是产业、经济、政府、社会的全面数字化，而数字化安全将成为发展数字经济、建设数字中国的底座，成为新基建的安全基建。 通过2022年全球高级持续性威胁态势分析看，我国数字化转型和自主可控领域的发展面临更加严峻和复杂的网络威胁形势。需要网络安全从业者保持网络空间常态实战化的状态 应对网络空间的攻防对抗，不断提升我国网络安全和数据安全保护能力，保障国家网络空间安全。 2022/PART.02 2022年活跃APT组织 RESEARCHREPORT007 PART.02 2022年活跃APT组织 AdvancedPersistentThreat 2022年，俄乌冲突爆发和全球经济衰退对地缘政治乃至世界格局的演变产生了深远影响，使得国际局势日益错综复杂。与此同时，全球APT组织的攻击活动在地缘政治冲突热点事件的影响下，保持着高活跃度。2022年，全球网络安全厂商公开发布的APT报告累计742篇，报告中披露的攻击活动涉及APT组织141个，其中首次披露的APT组织54个，攻击活动涉及APT组织数量和首次披露的APT组织数量，均比2021年大幅增加。 东欧 北美中东 南亚 南美 东亚 东南亚 东欧 热度 APT-C-53(Gamaredon) ★★★★★★ APT-C-13(SandWorm) ★★★ APT-C-25(APT29) ★★ APT-C-20(APT28) ★★ APT-C-29(Turla) 北美APT-C-40（NSA） （） ★★★热度★ APT-C-39CIA 南亚 热度 APT-C-08（蔓灵花） （） ★★★★★★ APT-C-48CNC （响尾蛇） ★★★ APT-C-24 摩诃草 ★★★ APT-C-09() 透明部落 ★★★ APT-C-56() 肚脑虫 ★★ APT-C-35() 腾云蛇 ★★ APT-C-61() 东亚 热度 APT-C-01（毒云藤） （） ★★★★★★★★ APT-C-28ScarCruft （） ★★★ APT-C-26Lazarus （i） ★★★ APT-C-55Kmsuky （） ★★★ APT-C-06DarkHotel 东南亚 热度 APT-C-00（海莲花） ★★★★ 中东 热度 APT-C-23（双尾蝎） （i） ★★★ APT-C-49OlRig 南美 热度 APT-C-36（盲眼鹰） ★ 2022年全球典型APT组织分布 RESEARCHREPORT 008 360高级威胁研究院对360全网数字安全大脑中APT威胁监测数据进行统计：2022年对中国发起的APT攻击活动，涉及14个APT组织，主要的攻击活动分布于政府、教育、信息技术、科研和国防军工等15个行业领域。 基于APT组织攻击频次、被攻击单位数量、受影响设备数量、技战术迭代频次等多个指标，我们对 2022年对中国发起攻击活动的APT组织活跃程度进行评估，得出下表。 排名 组织名称 主要影响行业领域 TOP1 APT-C-01（毒云藤） 政府、教育、科研等 TOP2 APT-C-00（海莲花） 政府、信息技术、国防军工等 TOP3 APT-C-08（蔓灵花） 政府、教育、国防军工等 TOP4 APT-C-12（蓝宝菇） 交通运输、政府、国防军工等 TOP5 APT-C-48（CNC） 教育、科研等 TOP6 APT-C-06（DarkHotel） 贸易、教育等 TOP7 APT-C-60（伪猎者） 贸易、教育等 TOP8 APT-C-09（摩诃草） 教育、科研等 TOP9 APT-C-24（响尾蛇） 医疗卫生、政府等 TOP10 APT-C-28（ScarCruft） 政府、媒体等 RESEARCHREPORT 009 北美AdvancedPersistentThreat APT-C-40（NSA） 2022年，360高级威胁研究院陆续公开披露了《网络战序幕：美国国安局NSA（APT-C-40）对全球发起长达十余年无差别攻击》、《Quantum（量子）攻击系统–美国国家安全局“APT-C-40”黑客组织高端网络攻击武器技术分析报告（一）》、《关于西北工业大学发现美国NSA网络攻击调查报告 （之一）》、《西北工业大学发现美国NSA网络攻击调查报告（之二）》等多篇有关NSA组织攻击活动及技术细节报告。 发布时间 发布机构 披露内容 2022年2月23日 奇安盘古实验室 Bvp47-美国NSA方程式组织的顶级后门[2] 2022年3月2日 360高级威胁研究院 网络战序幕：美国国安局NSA（APT-C-40）对全球发起长达十余年无差别攻击[3] 2022年3月14日 国家计算机病毒应急处理中心 “NOPEN”远控木马分析报告[4] 2022年3月15日 安天CERT 从“NOPEN”远控木马浮出水面看美方网络攻击装备体系[5] 2022年3月22日 360高级威胁研究院 Quantum（量子）攻击系统–美国国家安全局 “APT-C-40”黑客组织高端网络攻击武器技术分析报告（一）[6] 2022年6月29日 国家计算机病毒应急处理中心 美国国家安全局（NSA）“酸狐狸”漏洞攻击武器平台技术分析报告[7] 2022年6月29日 360高级威胁研究院 “验证器”（Validator）—美国国家安全局NSA （APT—C—40）的木马尖兵[8] 2022年9月05日 360高级威胁研究院 关于西北工业大学发现美国NSA网络攻击调查报告（之一）[9] 2022年9月27日 360高级威胁研究院 西北工业大学遭受美国NSA网络攻击调查报告（之二）[10] RESEARCHREPORT 010 APT-C-40（NSA）组织持续对中国和全球多个国家地区展开网络攻击活动，给全球互联网安全带来了严峻的风险和挑战。在披露的NSA组织对西北工业大学的一系列网络攻击活动中，美国国家安全局（NSA）“特定入侵行动办公室”（TAO）使用了40余种不同的NSA专属网络攻击武器，持续对西北工业大学开发起多轮持续性的网络攻击和窃密行动。 一直以来，美国国家安全局（NSA）针对我国各行业龙头企业、政府、科研机构甚至关乎国计民生的核心基础设施运维单位长期进行黑客攻击活动，对我国的国防安全、关键基础设施安全、社会安全、生产安全以及公民个人信息安全造成严重危害。 APT-C-40组织针对中国境内目标攻击中使用了其最具代表性的Quantum（量子）攻击系统。该系统针对国家级网络通信进行中间劫持，以实施漏洞利用、通信操控、情报窃取等一系列 复杂网络攻击。360全网数字安全大脑对Quantum（量子）系统进行了长期的跟踪研究，并对Quantum（量子）系统的九种先进网络攻击能力模块进行了总结。 Quantum（量子）攻击系统示意 RESEARCHREPORT 011 当前全球不稳定因素增多，国际势力间的对抗增加，在此大背景下，大国间的网络对抗势必将会持续进行，面对国家级背景的强大对手，我们需要长期的关注和防范以APT-C-40（NSA）为代表的北美APT组织通过网络空间，对我国重点行业领域的攻击活动。 Quantum（量子）攻击系统网络攻击能力模块 RESEARCHREPORT 012 南亚AdvancedPersistentThreat 2022年，南亚地区APT组织相关攻击活动依然针对南亚、东南亚等地区，围绕国防军工、政府、能源、科研等关键行业领域。在2022年，南亚地区的部分APT组织，如摩诃草、CNC、蔓灵花等，被发现选择医疗行业作为攻击目标，推断这可能与2022年爆发的多起大规模传染病传播事件（如猴痘、不明病因儿童肝炎、新冠病毒变异株Deltacron变种等）存在一定相关性。 ●APT-C-08（蔓灵花） 2022年APT-C-08（蔓灵花）组织依旧延续使用之前的攻击技战术，主要使用恶意文档作为与目标 调用 人群接触的切入点，通过文档中携带的宏代码、公式编辑器漏洞、chm包含的内嵌脚本等方式来完成代码的执行，通过执行的代码在设备中留下计划任务，用以周期性的与服务器进行连接，通过计划任务调用curl.exe或msiexec.exe向服务器请求文件数据，最终完成落地。 创建 恶意文档 计划任务 mskexec.exe curl.exe 释放，运行 攻击组织程序 较以往有所不同的是，在msi文件中，部分文件中包含VBS文件。VBS文件的功能多为重命名并执行一同被释放的组件程序，在这些VBS文件中，会以"explorer.exe"代理启动指定应用程序。 攻击流程简要示意图 RESEARCHREPORT 013 在2022年上半年，360高级威胁研究院捕获到了蔓灵花组织使用的最新远控程序，根据其路径名“wmservice.exe”，将其命名为“wmRAT”，该远控程序使用的指令功能列表如下： 指令 功能 0 包含打开文件流、上传设备信息、删除指定路径下