全球高级持续性威胁（APT）2022年中报告

主MAI要NP观OIN点TS 2022上半年全球范围内，国防军事相关的攻击事件占比达到21%，成为继政府之后的第二大攻击目标。另外，金融、能源行业相关攻击事件也增长较多，占比分别为13%、11%。 俄乌冲突使得该地区成为APT攻击的重灾区，数据擦除软件攻击不断出现。随着冲突的升级，全球黑客也各自选边站队，卷入乱局。网络信息舆论战也成为网络战中的重要一环。 针对我国国内的攻击主要来自周边地区的APT组织，攻击主要集中在5、6月份。从受害行业来看，针对金融和互联网科技的攻击较去年有所增长。 2022上半年以来，0day漏洞仍是攻击者喜好的一大攻击武器；在经济利益的驱使下，针对金融行业的攻击加剧；受俄乌冲突影响，国防军事目标也成为攻击热点。 2022年上半年0day漏洞的攻击使用整体趋于缓和，比之2021年有大幅下降，但同比2020年的 0day在野漏洞攻击依然有所增加。以浏览器为核心的漏洞攻击向量仍然是主流趋势，其中大部分为沙箱逃逸漏洞，主要源自之前漏洞补丁绕过的变种。 全球高级持续性威胁（APT）2022年中报告 摘ABSTR要ACT 奇安信威胁情报中心使用奇安信威胁雷达对2022上半年境内的APT攻击活动进行了全方位遥感测绘。数据表明，河南是上半年以来APT组织的重点目标地区，经济发达的北京、广东及上海地区依然位为前列，其次是江苏、福建、山东等沿海地区。 针对我国目标进行高频攻击的APT组织主要为海莲花、APT-Q-12、金眼狗等。攻击者主要针对我国政府机构、金融、互联网科技等行业进行攻击。 2022上半年内，奇安信威胁情报中心收录了高级持续性威胁相关公开报告总共181篇。其中，提及率最高的5个APT组织分别是：Gamaredon6.8%，Lazarus6.2%，Kimsuky5.7%，C-Major4.6%，海莲花4%。涉及政府的攻击事件占比为27%，其次国防军事相关事件占比为21%，金融占比13%、能源占比11%。 俄乌冲突中，多方势力在网络空间这个不见硝烟的战场上进行着激烈较量，其中既有国家背景APT组织的踪迹，也有普通黑客团体的活跃身影，还有多国在网络信息舆论战上的对抗。 在俄乌冲突背景下的网络战中常出现的攻击手段有：数据擦除攻击、分布式拒绝服务（DDoS）攻击、以信息窃取为目的的APT攻击，以及网络信息舆论战。 2022年上半年0day漏洞的攻击使用整体趋于缓和，比之2021年有大幅下降，但同比2020年却有所上升。奇安信威胁情报中心梳理发现，以浏览器为核心的漏洞攻击向量依然是主流趋势。其中Chrome，Firefox，Safari及对应平台下Windows，MacOS，IOS的沙箱逃逸漏洞占所有漏洞近7成，这里面近5成漏洞源自之前漏洞补丁绕过的变种。 关键字：俄乌冲突、高级持续性威胁、APT、0day、军事 目CATALO录GUE 第一章俄乌冲突背景下的网络战01 一、奇安信威胁雷达境内遥测分析01 二、网络战特点05 三、由俄乌冲突引发的其他APT攻击事件07 第二章中国境内高级持续性威胁综述08 一、奇安信威胁雷达境内遥测分析08 二、2022上半年针对我国的活跃组织11 三、2022上半年境内受害行业分析16 第三章全球高级持续性威胁综述17 一、全球高级威胁研究情况17 二、受害目标的行业与地域18 三、活跃高级威胁组织情况18 四、2022上半年高级威胁活动特点19 第四章APT攻击中的漏洞利用22 一、新兴的浏览器巨头：Lazarus23 二、进击的向日葵23 三、IoT路由沦为APT团伙攻击的前哨站24 四、Driftingcloud：新兴的0day团伙24 五、传承：CVE-2022-3019025 第五章地缘下的APT组织、活动和趋势26 一、东亚地区27 二、东南亚地区31 三、南亚地区33 四、东欧地区37 五、中东地区41 六、其他地区45 附表1俄乌冲突下的APT攻击概要 48 附表2俄乌冲突下的黑客组织概要50 附录1全球主要APT组织列表 52 附录2奇安信威胁情报中心 56 附录3红雨滴团队(RedDripTeam)58 附录4参考链接59 第一章俄乌冲突背景下的网络战/全球高级持续性威胁（APT）2022年中报告 第一章俄乌冲突背景下的网络战 今年上半年2月24日俄乌战争打响，俄乌冲突与其他战争最显著的不同在于全球众多身处物理战场之外的群体通过网络也参与到对抗之中。战前乌克兰就遭受了一系列针对性的网络攻击，冲突爆发后针对性网络攻击更是常伴随军方的行动发生，网络层面和物理层面的攻击呈现出配合的态势。针对乌克兰的定向网络攻击除了有利用木马后门进行信息窃取与情报收集，还包括借助数据擦除软件瘫痪和破坏特定信息系统。而乌克兰在欧美支持下取得全球范围内网络信息舆论战的优势，吸引了众多黑客团体为其站队。这些黑客团体在开战后频繁向俄罗斯重要组织机构发起攻击，并将攻击得手后获取的内部数据在网上公开。 多方势力在网络空间这个不见硝烟的战场上进行着激烈较量，其中既有国家背景APT组织的踪迹，也有普通黑客团体的活跃身影，还有多国在网络信息舆论战上的对抗。本章将对这场网络战演进过程进行简单梳理，并总结此次网络战呈现的一些特点。 一、网络战演进过程 奇安信威胁情报中心根据奇安信内部数据视野及互联网公开渠道收集的网络攻击数据分析，网络空间的交锋早于战争率先开始，在正式进入军事冲突后，双方的网络行动则以破坏性攻击活动为主、网络信息战为辅。随着乌克兰局势的不断升级，多国围绕乌克兰问题的博弈也延伸到网络领域，以美国为首的各国表面上并未参与实际的网络战，却利用自身的互联网优势引导全球黑客选边站队卷入乱局，导致网络战线全面拉开。 （一）网络战攻击手段与大事件 此次网络战中常出现的攻击手段有：数据擦除攻击、分布式拒绝服务（DDoS）攻击、以信息窃取为目的的APT攻击，以及网络信息舆论战。 俄乌冲突期间多款数据擦除型恶意软件被发现，这些恶意软件清除磁盘特定数据，或导致重要文件数据损毁，或直接使系统无法启动，本章后面内容会对这些恶意软件进行具体说明。DDoS攻击是一种门槛低但效果明显的网络攻击手段，在各方势力参与的网络战中，针对俄乌两国的DDoS攻击频繁发生。在国家对抗的背景下，不乏APT组织的活动踪迹，APT攻击以亲俄背景组织为主，这些组织除了被发现与某些数据擦除恶意软件有关，还不断通过定向的网络钓鱼攻击开展情报收集活动，奇安信根据公开报告以及内部数据整理了俄乌冲突背景下的APT攻击活动（见附表1）。网络信息舆论战，有别于直接的网 络攻击，是传统舆论战心理战的升级版，通过网络空间发布有利于己方和不利于对方的虚实信息，混淆视听，或震慑对方心理，或影响判断认知，达到在全球范围内收割同情和支持的目的。 俄乌战争爆发前后涉及两国的网络冲突重大事件如下图所示。 图1.1俄乌冲突背景的网络战大事件 （二）战前网络行动 在俄罗斯特别军事行动之前，乌克兰便爆发了针对其政府机构等关键部门的数据擦除恶意软件攻击和大规模分布式拒绝服务（DDoS）攻击。2022年1月13日，数据擦除恶意软件WhisperGate出现在乌克兰多个组织的计算机系统中。2022年1月，约70个乌克兰政府网站由于遭到DDoS攻击而暂时下线。2月14日起，乌克兰的军事、政府、金融等部门的网络系统再次遭到大规模DDoS攻击。 图1.2WhisperGate损毁目标计算机的文件类型列表 在俄乌两国局势紧张期间，乌克兰除了遭受网络攻击，还受到多起网络信息战行动的影响。2022年1 月13日，乌克兰政府网站遭到篡改，修改后的网站页面发布了旨在散播恐慌的虚假信息。2月15日，部分乌克兰Privatbank银行用户收到银行ATM机无法使用的虚假消息。乌克兰有关部门还查封了一个拥有超过18万个社交媒体账号、用来散布假新闻的僵尸网络。 （三）战争爆发时的网络攻击 在俄乌战争爆发的时间点附近，又有两种数据擦除恶意软件出现在乌克兰重要组织机构的信息系统中。2022年2月23日，俄乌战争爆发前一天，一款被称为HermeticWiper的新型数据擦除恶意软件感染了至少五个乌克兰组织的数百台计算机。2月24日，针对乌克兰政府组织的第三种数据擦除恶意软件IsaacWiper在新一轮网络攻击中出现，值得注意的是，IsaacWiper出现在未受HermeticWiper影响的乌克兰政府组织中。 与此同时，亲俄背景的APT组织也继续利用网络钓鱼攻击进行情报刺探。比如，乌克兰国家特殊通信和信息保护局于2月25日披露了与UNC1151APT组织相关的网络钓鱼邮件，邮件内容中涉及到2月24 日这个日期。 图1.3乌克兰官方披露的网络钓鱼邮件 （四）西方国家下场，网络战拉锯相持 以美国为首的西方国家开始下场支持乌克兰，乌克兰方面对俄发动网络攻击，网络战进入拉锯相持阶段。 在网络信息舆论战方面，美国和乌克兰政客鼓动黑客对俄罗斯发起网络攻击，比如乌克兰在战争打响后不久开始筹建IT志愿者大军。同时，欧美的主流信息渠道禁言俄罗斯。2月27日，欧盟宣布禁止俄罗斯官方媒体“今日俄罗斯”（RT）和俄罗斯卫星通讯社（Sputnik）在欧盟境内传播信息，随后，主流社交平台和跨国信息科技公司纷纷跟进。西方国家尤其是美国利用自己对全球主流媒体、社交平台的掌控，以及诞生于美国的一批跨国信息科技公司在互联网世界的资源主导权，不断对俄罗斯的舆论发声渠道进行围追堵截。这一系列限制措施导致俄罗斯官方媒体被封而难以发声，对俄罗斯的不利舆论呈一边倒趋势，俄罗斯在全球舆论战场上已落于下风。 在西方国家对国际舆论主导权的加持之下，美乌政客对网络攻击行为的鼓动引起更多黑客组织卷入俄乌纷争，尤其是支持乌克兰一方的组织数量大增。不过根据持续追踪发现，3月中旬以后各黑客组织公布 的消息逐渐减少。原因是一些黑客为蹭热度而公布的数据“虚有其表”，导致其公信力下降。奇安信总结了自俄乌冲突升级后，各黑客组织参与网络混战的具体情况，详情请参阅附表2。 开战以后，针对俄乌两国的DDoS攻击频发，攻击对象经常是两国的重要网站。在战争爆发后一个多月的时间里，奇安信监测到乌克兰地区被DDoS攻击事件40余起，俄罗斯地区被DDoS攻击事件超100起。被DDoS攻击的重要网站涉及乌克兰的政府机构、新闻媒体、高等院校，和俄罗斯的政府机构、新闻媒体、金融机构、社交平台。 同时，支持乌克兰的黑客团体选择俄罗斯重要机构发起网络入侵，并导致被攻击机构的数据泄露。攻击团体以Anonymous（匿名者）、AgainstTheWest(ATW)、乌克兰网络部队为首，目标包括俄罗斯政府机构、国有银行、航天公司、原子能机构、天然气石油公司、国家通讯监管机构、军工企业、国家媒体机构等。 另一方面，乌克兰的关键基础设施也成为网络攻击的重点目标。3月28日，乌克兰互联网服务提供商Ukrtelecom遭受网络攻击，导致乌克兰发生俄乌战争以来最严重的流量中断事件。4月12日，乌克兰政府表示针对乌克兰电网的网络攻击已被成功阻止，攻击的破坏行为原计划于4月8日启动，如果攻击成功实施，将摧毁乌克兰多个变电站和电网，影响范围约为200万人，此次攻击行动被认为由APT组织Sandworm发起。 二、网络战特点 在此次网络战中，以数据擦除攻击为代表的破坏性网络攻击不断出现，双方阵营尽其所能向着对方重要组织机构和关键基础设施发起猛攻，同时双方在网络信息舆论战上也展开了激烈较量。 （一）数据擦除软件不断出现 数据擦除软件通过清除计算机上的重要文件数据或者直接让计算机无法启动，达到破坏或瘫痪相关信息系统的目的。目前已披露的与这场网络战相关的数据擦除型恶意软件有下面几种。 名称 披露时间 特点 相关攻击事件 WhisperGate 2022-01-15 覆盖磁盘的主引导记录，覆盖特定类型文件的数据 2022年1月13日针对乌