2023 RESEARCHREPORT ADVANCEDPERSISTENTTHREAT 2023 ADVANCEDPERSISTENT THREAT CONTENTS目录 P006 PART01 2023年全球高级可持续性威胁概览 P008 PART02 2023年全球活跃APT组织 012北美 015南亚 023东亚 031东南亚 033东欧 038中东 041南美 P042 PART03 关键行业攻击态势分析 44教育和科研 45政府机构 043国防军工 048交通运输 050能源 P052 P062 PART04 2023年APT攻击态势总结 053TOP20ATT&CK技战术 55APT攻击使用的0Day漏洞集中在操作系统和浏览器 56针对移动平台的APT攻击愈加频繁且复杂 57针对芯片、5G等高科技领域的攻击威胁加剧 58围绕地理、地质测绘重点目标的攻击频发 59以破坏为目的网络攻击在地区冲突对抗中不断出现 60“舆论对抗”升温中持续演变 61网络空间对抗成为地缘政治较量的制高点 附录 PART01 2023年高级可持续性威胁概览 P006 P007 2023ADVANCEDPERSISTENTTHREAT 2023年全球高级可持续性威胁概览 AdvancedPersistentThreat PART.01 2023全球高级持续性威胁研究报告 2023ADVANCEDPERSISTENTTHREAT P007 2023年,全球政治格局和国际关系日益复杂,俄乌冲突持续胶着,中东地区又爆发新一轮巴以冲突,全球秩序面临前所未有的变革和挑战,传统安全问题变得更加严峻和复杂。全球所面临来自网络空间的威胁日益增加,高级持续性威胁(APT)形势也更加严峻复杂,成为国家网络空间安全战略需要应对的突出风险。 全球网络安全厂商和机构在2023年累计公开发布APT报告731篇,报告中涉及APT组织135个,其中首次披露的APT组织46个。全球范围看,APT组织攻击活动聚焦地区政治、经济等时事热点,攻击目标主要分布于政府、国防军工等行业领域。 我国是APT攻击活动主要受害国之一。截至目前,360依托全网安全大脑“看见威胁”的能力,已累计发现54个境外APT组织,2023年最新捕获到两个境外组织:APT-C-57(沃尔宁)、APT-C-68(寄生虫)。全年360监测到13个境外APT组织针对我国的APT攻击活动1200多起,相关APT组织主要归属北美、南亚、东南亚和东亚地区。受影响重点目标涉及16个行业领域,受影响行业TOP5为:教育、政府、科研、国防军工、交通运输。 360一直以来持续监测和跟进美国的APT组织针对我国的网络攻击活动:今年3月,360对APT-C-39 (CIA)组织网络攻击武器和技战术细节进行了揭秘;7月,国家计算机病毒应急处理中心和360联合处置了美国组织对武汉市地震中心的网络渗透攻击;9月,国家计算机病毒应急处理中心和360披露了APT-C-40(NSA)组织网络间谍武器“二次约会”的技术分析报告。 2023年APT组织在攻击活动中利用的0day漏洞数量继续保持高位,东亚地区组织APT-C-06 (DarkHotel)和APT-C-68(寄生虫)组织多次利用0day漏洞,针对特定行业软件供应商展开攻击。针对移动平台的APT攻击愈加频繁且复杂,移动平台的0day漏洞增长明显,这以APT-C-40(NSA)组织利用一系列漏洞针对苹果iOS系统的“Triangulation”攻击活动最具代表性。 纵观2023年,APT组织在攻击活动中呈现出一系列新态势:我国半导体芯片、5G等高科技领域成为北美方向组织攻击新重点;多个地区组织对我国地理、地质测绘信息相关目标攻击活动持续升温;另外我国驻外机构和企业遭受的APT攻击,无论从频次还是受影响程度都明显升高。全球范围APT组织针对能源行业攻击活跃度增加;网络攻击组织不仅以窃取军事情报方式介入地区冲突,还逐渐开展实际破坏性攻击。 网络空间对抗的重要性在地缘政治博弈和地区冲突中的作用日益突出,网络空间逐渐成为地缘政治较量的制高点。未来在在人工智能、神经网络等新技术的加持下,来自网络空间的威胁将成为所有国家共同需要面对的严峻挑战。 PART02 2023年全球活跃APT组织 P008 P041 2023ADVANCEDPERSISTENTTHREAT ★ ★ 2023全球高级持续性威胁研究报告 2023ADVANCEDPERSISTENTTHREAT P009 东欧 APT-C-53(Gamaredon)★★★ 组织名称 活跃程度 APT-C-13(Sandworm)★★ APT-C-25(APT29)★★★ APT-C-20(APT28)★★ 组织名称 活跃程度 中东 APT-C-51(APT35) APT-C-63(沙鹰) ★★★ APT-C-49(OilRig) APT-C-23(双尾蝎) ★★ ★★ ★ 东南亚 APT-C-00(海 组织名称 莲花) ★★★★ 活跃程度 北美 APT-C-57 APT-C-39(CIA) 组织名称 ★★★ 活跃程度 APT-C-40NSA (沃尔宁) () ★★★ 东亚 APT-C-26(Lazarus) APT-C-01(毒云藤) 组织名称 ★★★★ 活跃程度 APT-C-55(Kimsuki) ★★★ ★★★ APT-C-06DarkHotel APT-C-68(寄生虫) APT-C-28(ScarCruft) ★★★ ★★★ 南美 APT-C-36(盲眼鹰) 组织名称 ★★活跃程度 APT-C-09(摩诃草) 组织名称 ★★★★ 活跃程度 南亚 APT-C-08蔓灵花 ( ) ★★★★ APT-C-56 APT-C-24(响尾蛇) APT-C-48 CNC ★★★ APT-C-61 (透明部落) (腾云蛇) ★★★ 2023年全球活跃APT组织 PART.02 AdvancedPersistentThreat 进入2023年,全球政治格局和国际关系的日益复杂,全球秩序面临着前所未有的变革和挑战,全球化的消极互动成为一段时期内全球经济与政治互动的主要特征。在此形势下全球APT组织的攻击活动继续保持着高活跃度。截止2023年12月,全球网络安全厂商以及机构,公开发布APT报告累计731篇,报告中涉及APT组织135个,其中属于首次披露的APT组织46个。 东欧 东亚 中东 东南亚 北美 南亚 南美 ▶2023年全球典型APT组织活跃度情况 P010 2023ADVANCEDPERSISTENTTHREAT 2023全球高级持续性威胁研究报告 根据360全网安全大脑监测:2023年对中国发起攻击活动的APT组织,主要为归属南亚、东南亚、东亚等地区的13个组织。目标单位集中分布于教育、政府、科研、国防军工、交通运输等16个重点行业领域。从地域分布看,我国受APT攻击影响的单位,集中分布于东南沿海和政治经济中心区域。这与我国关基行业、教育科研重点资源、国防军工核心单位地域分布情况存在相关性。 基于APT组织攻击活动次数、受影响单位数量、受攻击设备数量、技战术迭代频次等多个指标,我们对 2023年攻击活动影响我国的APT组织活跃度进行评估,得出下表。 排名 组织名称 归属地域 主要影响行业领域 TOP1 APT-C-01(毒云藤) 东亚 教育、政府、交通运输等 TOP2 APT-C-09(摩诃草) 南亚 教育、国防军工、科研等 TOP3 APT-C-00(海莲花) 东南亚 政府、教育、科研等 TOP4 APT-C-08(蔓灵花) 南亚 政府、教育、能源等 TOP5 APT-C-48(CNC) 南亚 教育、科研、国防军工等 TOP6 APT-C-06(DarkHotel) 东亚 制造、政府等 TOP7 APT-C-39(CIA) 北美 制造、科研等 TOP8 APT-C-24(响尾蛇) 南亚 政府、国防军工等 TOP9 APT-C-68(寄生虫) 东亚 国防军工、科研等 TOP10 APT-C-60(伪猎者) 东亚 教育等 2023全球高级持续性威胁研究报告2023ADVANCEDPERSISTENTTHREATP011 2023 ADVANCEDPERSISTENT THREAT P012 2023ADVANCEDPERSISTENTTHREAT 2023全球高级持续性威胁研究报告 北美AdvancedPersistentThreat 来自美国的网络黑客组织针对全球的网络攻击行为早已呈现出自动化、体系化和智能化的特征,其网络武器技术先进,攻击手法复杂,几乎可以覆盖全球所有互联网和物联网资产,攻击者为达到军事、政治侦察目的,可以随时随地控制他国网络,窃取关键数据。 继2022年6月,美国APT-C-40(NSA)组织针对西北工业大学的网络攻击活动披露后,2023年7月,国家计算机病毒应急处理中心和360公司再次处置和披露和处置了美国方向黑客组织针对武汉市地震监测中心的网络攻击活动[1]。地震检测中心的地震烈度数据与国家安全息息相关,通过地震烈度数据可以还原出我交通、能源、军事等重要领域特定区域的三维地貌图,如果数据泄露将严重威胁我国军事安全和国家安全。 2023年,360高级威胁研究院通过持续监测发现来源于北美方向针对我国的最新攻击活动。进一步综合研判溯源将此次攻击归属为一个全新APT组织:APT-C-57(沃尔宁)。该组织擅长利用重点目标专用应用软件进行复杂的供应链攻击。其攻击活动最早可追溯到2018年,2021年至2023年间持续活跃。 2023全球高级持续性威胁研究报告 2023ADVANCEDPERSISTENTTHREAT P013 APT-C-39(CIA) APT-C-39(CIA)组织长期针对中国航空航天、科研机构、石油、大型互联网公司以及政府等关键领域进行网络渗透攻击。2023年360先是在《“黑客帝国”调查报告――美国中央情报局(CIA)(之一)》[2]报告中,对CIA组织网络攻击武器主要细节进行了揭秘,随后在对CIA组织的持续跟踪中,再次捕获到该组织针对我国芯片、5G通信等领域目标的最新攻击活动。结合当前美国针对我国芯片、5G等高科技领域的打压态势,其用心不言而喻。 APT-C-39(CIA)组织对中国和其他国家实施的网络攻击窃密活动,大量使用0day漏洞,其中包括大批至今未被公开披露的后门和漏洞,在世界各地建立“僵尸”网络和攻击跳板网络,针对网络服务器、网络终端、交换机和路由器,以及数量众多的工业控制设备分阶段实施攻击入侵行动。APT-C-39(CIA)组织针对全球发起的网络攻击行为早已呈现出自动化、体系化和智能化的特征。 360高级威胁研究人员在APT-C-39(CIA)组织针对中国境内目标实施的网络攻击行动中,成功提取了多个“Vault7”(穹顶7)网络攻击武器样本。通过对样本进行分析发现:CIA组织使用的后门程序和攻击组件大都以无实体文件的内存驻留执行方式运行。这使得对相关样本的发现和取证难度极大。我们将捕获的APT-C-39(CIA)组织攻击武器按类别,分为框架平台类、攻击模块投递类、远程控制类、横向移动类、信息收集窃取类、漏洞利用类、伪装正常软件类、安全软件攻防类、第三方开源工具类9个类别。 应对APT-C-39(CIA)组织高度体系化、智能化、隐蔽化的网络攻击,如何快速“看见”并第一时间对威胁进行“处置”尤为重要。我们在采用自主可控国产化设备的同时,应针对APT攻击威胁开展自检自查,逐步建立起长效防御体系,实现全面系统化防治,以抵御此类高级威胁攻击。 ▶APT-C-39(CIA)组织攻击武器类别 P014 2023ADVANCEDPERSISTENTTHREAT 2023全球高级持续性威胁研究报告 APT-C-40(NSA) 2022年,国家计算机病毒应急处理