2023年全球高级威胁态势研究报告

目录 引言6 高级威胁篇9 2023年全球高级威胁综述9 新披露的APT组织12 1.由猎影实验室首次发现并命名12 2.其他安全厂商披露17 地缘下的高级威胁27 1.北美地区27 2.东欧地区30 3.南亚地区42 4.东亚地区48 5.东南亚地区60 6.中东地区63 7.其他地区73 2023年高级威胁活动特点74 1.以破坏为目的的攻击活动兴起74 2.邮件服务器成为初始攻击的目标75 3.面向开发人员的供应链攻击活动增加76 4.针对加密货币行业的攻击变本加厉77 5.使用非主流编程语言作为逃避检测手段77 6.商业服务与合法软件API被广泛使用78 2024年高级威胁活动预测78 1.借助AI的社会工程学攻击活动数量增多78 2.基于地缘政治的网络间谍活动数量增多79 3.针对移动、可穿戴设备的攻击活动兴起80 4.针对供应链的攻击活动只增不减80 5.云基础设施成为新的战场80 网络犯罪篇82 2023年网络犯罪团伙综述82 1.被打击的网络犯罪团伙82 2.新�现的网络犯罪团伙86 3.针对我国的黑灰产团伙90 地缘下的黑客主义行动104 1.俄乌冲突105 2.巴以冲突110 勒索软件团伙113 1.新�现的勒索软件团伙114 2.持续活跃的勒索软件团伙124 3.黑客雇佣组织141 2024网络犯罪趋势预测144 1.勒索赎金支付总金额大幅上升144 2.勒索团伙的漏洞利用能力增强145 3.针对云服务的勒索攻击将增加147 4.�现更多的勒索源代码再利用148 5.将人工智能应用于网络犯罪150 6.针对国内的网络犯趋势可能会有所衰退150 在野0-day漏洞篇152 2023年在野0-day漏洞披露情况152 2023年在野0-day漏洞利用趋势154 1.苹果设备跃升成为0-day漏洞攻击的头号目标154 2.提权0-day漏洞数量继续维持高位155 3.针对Chrome的0day攻击继续回落157 4.操作系统0day比例继续上升，浏览器0day比例继续下降158 5.以Office为载体的逻辑漏洞持续�现158 2024年在野0-day漏洞利用预测159 总结161 文档声明 本文档内容是杭州安恒信息技术股份有限公司对202 3年高级威胁态势研究所编写的文档。文中的资料、说明等相关内容均归杭州安恒信息技术股份有限公司所有。本文中的任何部分未经杭州安恒信息技术股份有限公司许可，不得转印、影印或复印。 引言 2023年，世界再次置身于巨大而不可预测的变革之中。全球地缘政治局势的演变，特别是一系列新兴威胁的不断涌现，使得网络安全面临着前所未有的挑战。过去一年，我们目睹了地缘政治动荡、科技进步和人类活动的交织，进一步深刻地塑造了数字时代的未来。 在此背景下，俄乌、巴以冲突成为焦点，对全球网络环境带来了严重的冲击。网络攻击不再仅仅是技术层面的挑战，更成为国家安全和全球稳定的关键元素。网络威胁的高级持续性表现出与以往不同的特征，其影响远远超越了数字世界的边界，渗透到现实社会的方方面面。 安恒研究院猎影实验室根据对2023全年的高级威胁攻击事件、网络犯罪团伙的攻击活动以及在野0-day漏洞的分析，发布《2023年高级威胁态势研究报告》。2023年网络空间态势呈现出以下特点： 2023年，安恒研究院猎影实验室首次发现并命名了4个APT组织：暗石（APT-LY-1005，SaaiwcGroup）、暗影蓝鹊（APT-LY-1006，ShadowBlueMagpie）、机械鹰（APT-LY-1007，MechanicalEagle）、骷髅狼（APT -LY-1008，SkeletonWolf）以及3个黑灰产组织：幽谍犬（GRP-LY-1002）、图穷之刃（GRP-LY-1003）、暗钩（GRP-LY-1004）。 全球其他厂商共计披露了37个APT组织。新披露的APT组织如CloudWizard、MoustachedBouncer、ShroudedSnooper等在攻击中采用了大量的新型攻击武器，部分新披露组织的攻击地区主要集中在东欧及中东的 网络战场，如CadetBlizzard、OilAlpha、CL-STA-0043、Sandman、WildCard等，有些新曝光的APT组织在技术战术方向上与既有组织存在重叠，如APT43、Tomiris、GoldenJackal等。 2023年，全球最为活跃的APT组织依然是来自东亚地区的Lazarus组织。该组织在全球范围内进行了多次供应链入侵，并持续从事加密货币窃取活动，占据总披露的12.7%。其次是Kimsuky、APT37等主要专注于韩国的东亚APT组织，分别占比9.3%和6.5%。 东欧地区的老牌APT组织在2023年纷纷活跃，例如Trula开发的Snake恶意软件感染了全球50多个国家；Gamaredon使用LitterDrifter的新型USB蠕虫进行大规模情报收集；Sandworm再次入侵乌克兰电网运营商网络，并引发乌克兰停电；APT28利用RoundCube电子邮件服务器漏洞入侵乌克兰政府、军事实体；APT29滥用WinRAR漏洞对欧洲各地大使馆进行攻击，目标包括意大利、希腊、罗马尼亚和阿塞拜疆。 南亚地区也发展使用非主流编程语言开发的恶意软件，如Sidewinder使用Nim后门针对南亚地区国家不丹、泥泊尔、缅甸等；Patchwork使用RustLoader针对我国能源、政府进行网络间谍活动。 中东地区的网络攻击活动主要以监听或破坏基础设施为主，如CharmingKitten监听不同政见的本国公民；Agrius多次对以色列教育和技术领域进行破坏攻击。 2023年，全球多个网络犯罪组织被绳之以法，包括在2022年排名前十的勒索软件家族之一的Hive，暗网论坛BreachForums以及GenesisMar ket，然而，新的勒索软件组织如Cylance、MalasLocker、ESXiArgs、Money_Message、Akira、RaGroup、BlackSuit等也相继涌现。对我国而言，黑灰产团伙往往在最后阶段采用Gh0st远控木马，其钓鱼主题主要涉及发票、税务、财务、政策、证券、薪资、补贴等，对高价值目标还可能实施金融诈骗活动。 受地缘冲突影响，俄乌以及巴以地区的DDoS攻击几乎没有间断，支持巴勒斯坦的黑客主题团体高达70余个，其中不乏在俄乌冲突中活跃的组织，如Killnet、AnonymousSudan等。 2023年，全球各大厂商共披露了55个主流厂商的在野0-day漏洞，其中CVE-2023-28252、CVE-2023-36033、CVE-2023-36802等三个Windo ws内核提权在野0-day漏洞由安恒信息捕获并提交。 高级威胁篇 2023年全球高级威胁综述 2023年，国内外安全厂商披露了30余个新高级持续性威胁（APT）组织，引发了广泛的关注。特别值得关注的是，俄乌、巴以、印巴等地区的网络威胁活动呈现出明显的激增趋势。这一现象可能与这些地区长期存在的政治紧张和冲突密切相关，这些紧张局势可能激发了各方通过网络手段进行各种形式的信息战、网络侦察或报复性攻击。 在这些地区，政治紧张和冲突往往不仅仅局限于传统的军事对抗，还扩展到了网络领域。各方可能寻求通过网络攻击手段来获取对方的敏感信息、进行网络侦察，甚至实施报复性的网络攻击。这种情况使得网络空间成为国际竞争和冲突的一个重要战场，各国或组织通过网络手段谋取政治、军事和经济上的优势。 2023年，最为活跃的老牌APT组织仍然是Lazarus，该组织在今年进行了多次供应链攻击，主要针对全球金融、加密货币行业、IT、医疗等目标，与其有关的组织或子组Andariel、BlueNoroff、ScarCruft等也在持续更新攻击武器。除Lazarus外，东亚地区其他APT组织Kimsuky、Konni、APT37等同样保持高度活跃，这些组织具有地域特点的攻击手法是恶意CHM、LNK文件的利用。 东欧地区较为活跃的组织是APT28、APT29以及RomCom。APT29 在2023年专注于对外交实体的攻击，攻击目标主要为欧盟及北约国家。 APT28主要利用电子邮件服务器漏洞入侵乌克兰及欧洲政府组织。RomCom则实现了从经济动机活动到地缘政治立场的转变，开始在攻击活动中针对亲乌克兰的政府、医院、国防攻击及各种IT服务商。 南亚地区较为活跃的组织包括Sidecopy、Sidewinder、Donot、Patchwork等。其中Sidecopy/TransparentTribe主要针对印度国防、军事组织，Sidewinder及Patchwork的攻击目标以中国和巴基斯坦为主，Sidewinder创建了大量仿冒政府的域名用于网络钓鱼攻击，Patchwork主要利用合法服务托管恶意负载及诱饵文件。中东地区随着巴以冲突的升级新增了大量的恶意软件和后门，主要用于窃取/监听目标的机密信息。 其他活跃的高级威胁组织占比如下图： 2023年，由于朝鲜地区的威胁组织高度活跃，因此全球高级威胁活动的目标国家中韩国的占比较高，其次是身处俄乌冲突的乌克兰地区，再其次是印度、美国、中国等地。 全球高级威胁活动的目标国家/地区分布如下图： 10 2023年高级威胁活动主要专注于攻击政府、国防军事、外交、通信和能源等关键行业。政府机构是攻击的首要目标，因为涉及到国家治理、决策制定和国家安全的核心职能。针对国防军事领域的攻击旨在窃取军事机密、战略计划和军事技术，对国家的军事优势构成直接威胁。 外交领域同样成为网络间谍活动的热门目标，原因在于外交关系涉及到大量国家之间的重要信息交流和协商。此外，针对通信和能源行业的攻击也有所上涨，攻击者试图侵入通信网络，截取敏感通信内容或破坏通信基础设施。 其他重点行业目标分布图如下： 新披露的APT组织 1.由猎影实验室首次发现并命名 1)暗石（APT-LY-1005，SaaiwcGroup） SaaiwcGroup（又名APT-LY-1005、暗石、DarkPink）是安恒研究院猎影实验室于2023年1月披露的APT组织，该APT组织活动主要针对亚太地区的国家，受害者包括菲律宾军事机构、柬埔寨政府机构以及越南组织。SaaiwcGroup主要通过针对性的鱼叉式网络钓鱼电子邮件获取初始访问权限，然后加载其自定义工具包，包括PowerDism、NetKami、Cucky和Ctealer信息窃取器，最终目的是窃取政府和军事组织的机密文件。 其两项恶意软件加载核心技术包括：DLL侧加载和事件触发执行 （执行由文件类型关联触发的恶意内容）。该组织甚至还可以感染连接到受感染计算机的USB设备，并且能够访问受感染计算机上的Messenger。 图SaaiwcPowerDism恶意软件感染链 图SaaiwcNetKami恶意软件感染链 2)暗影蓝鹊（APT-LY-1006，ShadowBlueMagpie） 暗影蓝鹊（又名APT-LY-1006，ShadowBlueMagpie、YoroTrooper、战争葵花、WarSunflower）是安恒研究院猎影实验室于2023年2月披露的APT组织，该APT组织主要针对东欧及东亚地区国家的政府部门进行 网络钓鱼攻击，以ZIP/VHDX+LNK文件的形式作为初始负载，引诱目标点击并下载后续窃密组件。其窃密组件使用多语言（C++、Pascal、Rust）进行开发，与Kasablanka组织存在一定的弱关联。 图暗影蓝鹊攻击链 2023年3月，国外安全厂商进一步确定暗影蓝鹊的目标包括欧盟医疗保健机构、世界知识产权组织（WIPO）以及阿塞拜疆和土库曼斯坦等欧洲国家的大使馆，该组织使用基于Python的、定制的和开源的信息窃取器，例如通过Nuitka框架和PyInstaller包装到可执行文件中的Stink窃取器。对于远程访问，该组织还部署了商