全球高级持续性威胁（APT）2023年中报告

主要观点 M A I NP O I N T S 2023 年上半年全球范围内，政府部门仍是 APT 攻击的首要目标，相关攻击事件占比为 30%，其次是国防军事领域，相关事件占比 16%。与去年同期相比，教育、科研领域相关的攻击事件比例增高，占比分别为 11% 和 9%。 2023 年上半年涉及我国政府、能源、科研教育、金融商贸的高级威胁事件占主要部分，其次为科技、国防、卫生医疗等领域。 2023 年上半年，全球高级威胁活动呈现出以下特点：针对移动平台 iOS/Android 的 0day 攻击逐渐增多，相关攻击团伙的技术实力积累雄厚或者背靠国家机器；路由器、防火墙等网络边界设备成为 APT组织攻击的主要目标之一，如海莲花、APT28 通常会攻击一些存在漏洞的网络边界设备。被攻陷的网络设备一方面可以作为 C2 的转发器，用于隐藏攻击者的真实 IP，另一方面也可以作为攻击入口进行更深入的横向移动。 上半年内，我们观察到境外黑客组织在针对中国的 APT 攻击活动中大量使用了 0day 以及 Nday 漏洞。6 月初，国外安全厂商卡巴斯基披露了一个针对全球范围内利用 iOS 系统中 iMessage 信息服务的 0-Click0day 漏洞攻击。我们从该攻击的目标范围、复杂度、攻击技术和跨越时间来看，这是近十年内最顶尖的国家级 APT 攻击活动。通过我们的关联分析和确认，推测该攻击活动至少开始于 2019 年，且涉及国内大量受害者。 2023 年上半年，在野 0day 漏洞的利用情况同比 2022 年有所上升，漏洞数量接近 30 个左右。在漏洞涉及产品的供应厂商中，微软、谷歌、苹果的地位依然稳固，但是相较往年微软、谷歌势强而苹果势微的情况，今年三家厂商在曝出的在野 0day 漏洞数量上呈现出真正意义上的三足鼎立。 2023 上半年，奇安信威胁情报中心使用奇安信威胁雷达对境内的 APT 攻击活动进行了全方位遥感测绘。监测到国内大量 IP 地址与数十个境外 APT 组织产生过高危通信行为，疑似被攻击。广东省受境外 APT 团伙攻击情况最为突出，其次是北京、上海、浙江等经济发达地区。此外，监测发现中国香港地区也存在一定数量的受害目标。 基于奇安信威胁雷达的测绘分析，海莲花、毒云藤、Winnti、蔓灵花、APT-Q-27、响尾蛇、Lazarus等组织在 2023 上半年对我国攻击频率最高。我国境内疑似受其控制的 IP 地址比例分别为：毒云藤27%，海莲花 15%，Winnti 14%，蔓灵花 8%，APT-Q-27 7%，响尾蛇 6%，Lazarus 6%。 本次报告通过综合分析奇安信威胁雷达测绘数据、奇安信红雨滴团队对客户现场的 APT 攻击线索排查情况以及奇安信威胁情报支持的全线产品告警数据，得出以下结论：2023 上半年，我国政府部门、能源、科研教育行业遭受高级威胁攻击情况突出，受影响行业中排名前五的分别是：政府 33%，能源 15%，科研教育 12%，金融商贸 11%，科技 7%。 2023 上半年奇安信威胁情报中心收录了 177 篇高级威胁类公开报告，涉及 64 个已命名的攻击组织或攻击行动。其中，提及率最高的五个 APT 组织分别是：Kimsuky 8.8%，Lazarus 8.0%，Group123 7.4%，SideCopy 5.6%，Gamaredon 4.3%。 2023 上半年全球 APT 活动的首要目标仍是政府部门和国防军事行业，相关攻击事件占比分别为30% 和 16%，紧随其后的热点攻击行业是教育、科研、金融、医疗、通信等领域。 2023 上半年的在野漏洞利用中，以浏览器为攻击向量依然是主流趋势，Chrome、Safari 浏览器与对应平台 Windows、macOS、iOS 下的提权逃逸漏洞占所有漏洞近 8 成。0day 漏洞利用逐渐成为勒索团伙武器库的备选项。奇安信威胁情报中心在多起利用重要漏洞的攻击行动披露后第一时间跟进调查，发现有些攻击发起时间比预估更早（比如 Outlook 会议预约漏洞），或者影响范围更大（比如 iOS 的iMessage 漏洞涉及大量国内受害者）。 关键字：全球高级持续性威胁、APT、威胁雷达、0day、iOS、浏览器 第一章 中国境内高级持续性威胁综述01 一、奇安信威胁雷达境内遥测分析二、2023 上半年紧盯我国的活跃组织三、2023 上半年境内受害行业分析010510 第二章 全球高级持续性威胁综述12 一、全球高级威胁研究情况二、受害目标的行业与地域三、活跃高级威胁组织情况四、2023 上半年高级威胁活动特点12121416 第三章 地缘下的 APT 组织、活动和趋势17 一、东亚地区二、东南亚地区三、南亚地区四、东欧地区五、中东地区六、其他地区182328333739 第四章 大量 0day 漏洞被用于 APT 攻击44 一、贪婪的灰熊：Outlook 漏洞 CVE-2023-23397二、三角定位：侵蚀的苹果三、潜入深渊的梭子鱼：CVE-2023-2868454647 四、看齐 APT 组织：使用 0day 漏洞的勒索团伙48 附录 1 全球主要 APT 组织列表49 附录 2奇安信威胁情报中心53 附录 3 红雨滴团队 (RedDrip Team)55 附录 4 参考链接56 第一章中国境内高级持续性威胁综述 基于中国境内海量 DNS 域名解析和奇安信威胁情报中心失陷检测（IOC）库的碰撞分析（奇安信威胁雷达），是了解我国境内 APT 攻击活动及高级持续性威胁发展趋势的重要手段。 奇安信威胁情报中心通过使用奇安信威胁雷达对境内的 APT 攻击活动进行了全方位遥感测绘，2023 年上半年监测到我国范围内大量 IP 地址疑似和数十个境外 APT 组织产生过高危通信。从地域分布来看，广东省受境外 APT 团伙攻击情况最为突出，其次是北京、上海、浙江等经济发达地区。值得注意的是，中国香港也受到较多攻击。 本章内容及结论主要基于奇安信威胁雷达数据、奇安信红雨滴团队在客户现场处置排查的真实 APT 攻击事件，结合使用了奇安信威胁情报的全线产品告警数据，进行的整理与分析。 一、奇安信威胁雷达境内遥测分析 奇安信威胁雷达是奇安信威胁情报中心基于奇安信大网数据和威胁情报中心失陷检测（IOC）库，用于监控全境范围内疑似被 APT 组织、各类僵木蠕控制的网络资产的一款威胁情报 SaaS 应用。通过整合奇安信的高、中位威胁情报能力，发现指定区域内疑似被不同攻击组织或恶意软件控制的主机 IP，了解不同威胁类型的比例及被控主机数量趋势等。可进一步协助排查重点资产相关的 APT 攻击线索。 基于奇安信威胁雷达境内的遥测分析，我们从以下方面对我国境内疑似遭受的 APT 攻击进行了分析和统计。 （一）受控 IP 数量和趋势 奇安信威胁情报中心基于威胁雷达在 2023 上半年监测到数十个境外 APT 组织针对我国范围内大量目标IP 进行通信，形成了大量的境内 IP 与特定 APT 组织的网络基础设施的高危通信事件。其中还存在个别APT 组织通过多个 C2 服务器与同一 IP 通信的情况。 下图为 2023 上半年奇安信威胁雷达遥测感知的我国境内每月连接境外 APT 组织 C2 服务器的疑似受害IP 地址数量统计。可以看出，1-4 月 APT 团伙攻击频次相对均匀，波动不大，6 月份为上半年境外 APT攻击高峰。 2023 上半年中国境内每月新增疑似被境外 APT 组织控制的 IP 数量变化趋势如图 1.3 所示，反映了 APT组织攻击活跃度变化走向。新增受控 IP 数量变化趋势也与图 1.2 中每月连接境外 APT 组织 C2 服务器的疑似受害 IP 数量分布相符，前 4 个月疑似受控 IP 数量变化趋势平缓，5 月攻击有所减少，6 月激增。 （二）受害目标区域分布 下图为 2023 上半年中国境内疑似连接过境外 APT 组织 C2 服务器的 IP 地址地域分布，分别展示了各省疑似受害 IP 地址的数量：广东省受境外 APT 团伙攻击情况最为突出，其次是北京、上海、浙江等经济发达地区。此外，监测发现中国香港地区也存在一定数量的受害目标。 （三）APT 组织资产分布 下图分别为 2023 上半年境外 APT 组织疑似控制我国境内目标 IP 数量占比以及境外 APT 组织疑似使用过的 C2 服务器数量分布。 可以看出，海莲花、毒云藤两个组织依旧是针对国内攻击的主要组织，Winnti、蔓灵花、APT-Q-27、响尾蛇、Lazarus 等 APT 组织也疑似控制了境内大量 IP 地址。这些组织潜伏在我国周边国家和地区伺机发起攻击，其中毒云藤和海莲花长期针对中国。在上半年的攻击中，毒云藤大多以钓鱼为主，目标通常为高校、科研领域，海莲花则主要针对我国关键基础设施。 进一步对这些 APT 组织的 C2 服务器及其控制的境内 IP 地址数据分析后，我们发现： 1. Winnti 组织攻击主要集中在 1-4 月，最高峰为 1 月，该组织使用相对少的 C2 服务器与境内大量 IP 地址进行了非法通信。 2. 毒云藤、蔓灵花、响尾蛇、Lazarus、肚脑虫等组织 C2 服务器比较分散，常在攻击中频繁更换 C2。 3. APT-Q-27、摩诃草、Kimsuky 这几个组织均通过少量的 C2 进行批量攻击。 另外，我们还发现 APT-Q-77 多次针对国内的攻击，目标涵盖政府、科技、媒体、医疗、能源等多个行业。 二、2023 上半年紧盯我国的活跃组织 上半年内，我们观察到针对中国的 APT 攻击仍不乏 0day/Nday 漏洞的使用。6 月初，国外安全厂商卡巴斯基披露了一个针对全球范围内利用 iOS 系统中 iMessage 信息服务的 0-Click 0day 漏洞攻击。我们从该攻击的复杂度、攻击技术和跨越时间来看，这是近十年内最顶尖的国家级 APT 攻击活动。通过我们的关联分析和确认，推测该攻击活动至少开始于 2019 年，且涉及国内大量受害者。部分长期针对我国的 APT 组织具有复杂的攻击技战术，而另一些攻击组织则不断采用新武器或更新攻击手法。 奇安信威胁情报中心通过奇安信红雨滴团队和奇安信安服在客户现场处置排查的真实 APT 攻击事件，结合使用了威胁情报的全线产品告警数据，最终基于被攻击单位、受控设备、APT 组织技战术等多个指标筛选出以下数个对我国攻击频率高或危害大的 APT 组织。 接下来，我们将结合奇安信红雨滴团队的真实 APT 攻击处置案例，逐一盘点 2023 上半年紧盯我国的全球 APT 组织。 （一）APT-Q-31（海莲花） 关键词：供应链、重点单位在境外的资产 海莲花在 2023 上半年没有以往活跃，不过仍然对 IT 和软件公司展开攻击，并成功入侵了某公司的代码服务器，企图发起供应链攻击。此外，海莲花在针对我国重点单位在香港资产的攻击活动中舍弃了以往使用的自签名证书的基础设施，改用 80 端口作为 CobaltStrike 的 C2 服务器端口。在攻击过程中通过入侵域控服务器，开启内网漫游，并在横向移动中使用了新的隧道工具 Ligolo-ng。 奇安信威胁情报中心将持续对海莲花的活动进行监控。 （二）APT-Q-12 关键词：0day 漏洞、邮件 在 2023 年初，APT-Q-12 针对国内某邮箱 PC 端用户投递带有 0day 漏洞的鱼叉邮件，当受害者使用PC 客户端邮箱打开邮件后会触发相关漏洞的 Exploit 代码用于执行位于标题中的 JavaScript 代码，JavaScript 代码寻找邮件中指定的 Html 资源，最终通过内部接口的方式执行解密后的 LNK 文件，LNK后续的攻击链与我们之前披露过的 APT-Q-12 攻击链一致。 在我们后续溯源的过程中发现 APT-Q-12 与虎木槿组织存在基础设施上的重叠。 （三）APT-Q-77 关键词：鱼叉邮件、天然