全球高级持续性威胁（APT）2023年中报告

主要观点/全球高级持续性威胁（APT）2023年中报告 主MAI要NP观OIN点TS 2023年上半年全球范围内，政府部门仍是APT攻击的首要目标，相关攻击事件占比为30%，其次是国防军事领域，相关事件占比16%。与去年同期相比，教育、科研领域相关的攻击事件比例增高，占比分别为11%和9%。 2023年上半年涉及我国政府、能源、科研教育、金融商贸的高级威胁事件占主要部分，其次为科技、国防、卫生医疗等领域。 2023年上半年，全球高级威胁活动呈现出以下特点：针对移动平台iOS/Android的0day攻击逐渐增多，相关攻击团伙的技术实力积累雄厚或者背靠国家机器；路由器、防火墙等网络边界设备成为APT组织攻击的主要目标之一，如海莲花、APT28通常会攻击一些存在漏洞的网络边界设备。被攻陷的网络设备一方面可以作为C2的转发器，用于隐藏攻击者的真实IP，另一方面也可以作为攻击入口进行更深入的横向移动。 上半年内，我们观察到境外黑客组织在针对中国的APT攻击活动中大量使用了0day以及Nday漏洞。6月初，国外安全厂商卡巴斯基披露了一个针对全球范围内利用iOS系统中iMessage信息服务的0-Click 0day漏洞攻击。我们从该攻击的目标范围、复杂度、攻击技术和跨越时间来看，这是近十年内最顶尖的国家级APT攻击活动。通过我们的关联分析和确认，推测该攻击活动至少开始于2019年，且涉及国内大量受害者。 2023年上半年，在野0day漏洞的利用情况同比2022年有所上升，漏洞数量接近30个左右。在漏洞涉及产品的供应厂商中，微软、谷歌、苹果的地位依然稳固，但是相较往年微软、谷歌势强而苹果势微的情况，今年三家厂商在曝出的在野0day漏洞数量上呈现出真正意义上的三足鼎立。 全球高级持续性威胁（APT）2023年中报告 摘要/全球高级持续性威胁（APT）2023年中报告 摘ABSTR要ACT 2023上半年，奇安信威胁情报中心使用奇安信威胁雷达对境内的APT攻击活动进行了全方位遥感测绘。监测到国内大量IP地址与数十个境外APT组织产生过高危通信行为，疑似被攻击。广东省受境外APT团伙攻击情况最为突出，其次是北京、上海、浙江等经济发达地区。此外，监测发现中国香港地区也存在一定数量的受害目标。 基于奇安信威胁雷达的测绘分析，海莲花、毒云藤、Winnti、蔓灵花、APT-Q-27、响尾蛇、Lazarus等组织在2023上半年对我国攻击频率最高。我国境内疑似受其控制的IP地址比例分别为：毒云藤27%，海莲花15%，Winnti14%，蔓灵花8%，APT-Q-277%，响尾蛇6%，Lazarus6%。 本次报告通过综合分析奇安信威胁雷达测绘数据、奇安信红雨滴团队对客户现场的APT攻击线索排查情况以及奇安信威胁情报支持的全线产品告警数据，得出以下结论：2023上半年，我国政府部门、能源、科研教育行业遭受高级威胁攻击情况突出，受影响行业中排名前五的分别是：政府33%，能源15%，科研教育12%，金融商贸11%，科技7%。 2023上半年奇安信威胁情报中心收录了177篇高级威胁类公开报告，涉及64个已命名的攻击组织或攻击行动。其中，提及率最高的五个APT组织分别是：Kimsuky8.8%，Lazarus8.0%，Group1237.4%，SideCopy5.6%，Gamaredon4.3%。 2023上半年全球APT活动的首要目标仍是政府部门和国防军事行业，相关攻击事件占比分别为 30%和16%，紧随其后的热点攻击行业是教育、科研、金融、医疗、通信等领域。 2023上半年的在野漏洞利用中，以浏览器为攻击向量依然是主流趋势，Chrome、Safari浏览器与对应平台Windows、macOS、iOS下的提权逃逸漏洞占所有漏洞近8成。0day漏洞利用逐渐成为勒索团伙武器库的备选项。奇安信威胁情报中心在多起利用重要漏洞的攻击行动披露后第一时间跟进调查，发现有些攻击发起时间比预估更早（比如Outlook会议预约漏洞），或者影响范围更大（比如iOS的iMessage漏洞涉及大量国内受害者）。 关键字：全球高级持续性威胁、APT、威胁雷达、0day、iOS、浏览器 全球高级持续性威胁（APT）2023年中报告 目录/全球高级持续性威胁（APT）2023年中报告 目CATALO录GUE 第一章中国境内高级持续性威胁综述01 一、奇安信威胁雷达境内遥测分析01 二、2023上半年紧盯我国的活跃组织05 三、2023上半年境内受害行业分析10 第二章全球高级持续性威胁综述12 一、全球高级威胁研究情况12 二、受害目标的行业与地域12 三、活跃高级威胁组织情况14 四、2023上半年高级威胁活动特点16 第三章地缘下的APT组织、活动和趋势17 一、东亚地区18 二、东南亚地区三、南亚地区四、东欧地区五、中东地区六、其他地区 23 28 33 37 39 第四章大量0day漏洞被用于APT攻击44 一、贪婪的灰熊：Outlook漏洞CVE-2023-2339745 二、三角定位：侵蚀的苹果46 三、潜入深渊的梭子鱼：CVE-2023-286847 全球高级持续性威胁（APT）2023年中报告 目录/全球高级持续性威胁（APT）2023年中报告 四、看齐APT组织：使用0day漏洞的勒索团伙48 附录1全球主要APT组织列表 49 附录2奇安信威胁情报中心53 附录3红雨滴团队(RedDripTeam) 55 附录4参考链接 56 邮箱：ti_support@qianxin.com电话：95015官网：https://ti.qianxin.com 第一章中国境内高级持续性威胁综述/全球高级持续性威胁（APT）2023年中报告 第一章中国境内高级持续性威胁综述 基于中国境内海量DNS域名解析和奇安信威胁情报中心失陷检测（IOC）库的碰撞分析（奇安信威胁雷达），是了解我国境内APT攻击活动及高级持续性威胁发展趋势的重要手段。 奇安信威胁情报中心通过使用奇安信威胁雷达对境内的APT攻击活动进行了全方位遥感测绘，2023年上半年监测到我国范围内大量IP地址疑似和数十个境外APT组织产生过高危通信。从地域分布来看，广东省受境外APT团伙攻击情况最为突出，其次是北京、上海、浙江等经济发达地区。值得注意的是，中国香港也受到较多攻击。 本章内容及结论主要基于奇安信威胁雷达数据、奇安信红雨滴团队在客户现场处置排查的真实APT攻击事件，结合使用了奇安信威胁情报的全线产品告警数据，进行的整理与分析。 一、奇安信威胁雷达境内遥测分析 奇安信威胁雷达是奇安信威胁情报中心基于奇安信大网数据和威胁情报中心失陷检测（IOC）库，用于监控全境范围内疑似被APT组织、各类僵木蠕控制的网络资产的一款威胁情报SaaS应用。通过整合奇安信的高、中位威胁情报能力，发现指定区域内疑似被不同攻击组织或恶意软件控制的主机IP，了解不同威胁类型的比例及被控主机数量趋势等。可进一步协助排查重点资产相关的APT攻击线索。 图1.1奇安信威胁雷达境内受害者数据分析 1 全球高级持续性威胁（APT）2023年中报告 基于奇安信威胁雷达境内的遥测分析，我们从以下方面对我国境内疑似遭受的APT攻击进行了分析和统计。 （一）受控IP数量和趋势 奇安信威胁情报中心基于威胁雷达在2023上半年监测到数十个境外APT组织针对我国范围内大量目标IP进行通信，形成了大量的境内IP与特定APT组织的网络基础设施的高危通信事件。其中还存在个别APT组织通过多个C2服务器与同一IP通信的情况。 下图为2023上半年奇安信威胁雷达遥测感知的我国境内每月连接境外APT组织C2服务器的疑似受害IP地址数量统计。可以看出，1-4月APT团伙攻击频次相对均匀，波动不大，6月份为上半年境外APT攻击高峰。 图1.22023上半年中国境内疑似受控IP数量月度分布 2023上半年中国境内每月新增疑似被境外APT组织控制的IP数量变化趋势如图1.3所示，反映了APT组织攻击活跃度变化走向。新增受控IP数量变化趋势也与图1.2中每月连接境外APT组织C2服务器的疑似受害IP数量分布相符，前4个月疑似受控IP数量变化趋势平缓，5月攻击有所减少，6月激增。 邮箱：ti_support@qianxin.com电话：95015官网：https://ti.qianxin.com2 第一章中国境内高级持续性威胁综述/全球高级持续性威胁（APT）2023年中报告 图1.32023上半年中国境内每月新增疑似受控IP数量变化趋势 （二）受害目标区域分布 下图为2023上半年中国境内疑似连接过境外APT组织C2服务器的IP地址地域分布，分别展示了各省疑似受害IP地址的数量：广东省受境外APT团伙攻击情况最为突出，其次是北京、上海、浙江等经济发达地区。此外，监测发现中国香港地区也存在一定数量的受害目标。 图1.42023上半年中国境内疑似受控IP地域分布 3全球高级持续性威胁（APT）2023年中报告 （三）APT组织资产分布 下图分别为2023上半年境外APT组织疑似控制我国境内目标IP数量占比以及境外APT组织疑似使用过的C2服务器数量分布。 图1.52023上半年APT组织控制境内IP数量占比及C2服务器所属团伙数量分布 可以看出，海莲花、毒云藤两个组织依旧是针对国内攻击的主要组织，Winnti、蔓灵花、APT-Q-27、响尾蛇、Lazarus等APT组织也疑似控制了境内大量IP地址。这些组织潜伏在我国周边国家和地区伺机发起攻击，其中毒云藤和海莲花长期针对中国。在上半年的攻击中，毒云藤大多以钓鱼为主，目标通常为高校、科研领域，海莲花则主要针对我国关键基础设施。 进一步对这些APT组织的C2服务器及其控制的境内IP地址数据分析后，我们发现： 1.Winnti组织攻击主要集中在1-4月，最高峰为1月，该组织使用相对少的C2服务器与境内大量IP地址进行了非法通信。 2.毒云藤、蔓灵花、响尾蛇、Lazarus、肚脑虫等组织C2服务器比较分散，常在攻击中频繁更换C2。 邮箱：ti_support@qianxin.com电话：95015官网：https://ti.qianxin.com4 第一章中国境内高级持续性威胁综述/全球高级持续性威胁（APT）2023年中报告 3.APT-Q-27、摩诃草、Kimsuky这几个组织均通过少量的C2进行批量攻击。 另外，我们还发现APT-Q-77多次针对国内的攻击，目标涵盖政府、科技、媒体、医疗、能源等多个行业。 二、2023上半年紧盯我国的活跃组织 上半年内，我们观察到针对中国的APT攻击仍不乏0day/Nday漏洞的使用。6月初，国外安全厂商卡巴斯基披露了一个针对全球范围内利用iOS系统中iMessage信息服务的0-Click0day漏洞攻击。我们从该攻击的复杂度、攻击技术和跨越时间来看，这是近十年内最顶尖的国家级APT攻击活动。通过我们的关联分析和确认，推测该攻击活动至少开始于2019年，且涉及国内大量受害者。部分长期针对我国的APT组织具有复杂的攻击技战术，而另一些攻击组织则不断采用新武器或更新攻击手法。 奇安信威胁情报中心通过奇安信红雨滴团队和奇安信安服在客户现场处置排查的真实APT攻击事件，结合使用了威胁情报的全线产品告警数据，最终基于被攻击单位、受控设备、APT组织技战术等多个指标筛选出以下数个对我国攻击频率高或危害大的APT组织。 接下来，我们将结合奇安信红雨滴团队的真实APT攻击处置案例，逐一盘点2023上半年紧盯我国的全球APT组织。 （一）APT-Q-31（海莲花） 关键词：供应链、重点单位在境外的资产 海莲花在2023上半年没有以往活跃，不过仍然对IT和软件公司展开攻击，并成功入侵了某公司的代码服务器，企图发起供应链